ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

АССОЦИАЦИЯ РОССИЙСКИХ БАНКОВ

АССОЦИАЦИЯ РЕГИОНАЛЬНЫХ БАНКОВ РОССИИ (АССОЦИАЦИЯ "РОССИЯ")

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ

ПО ВЫПОЛНЕНИЮ ЗАКОНОДАТЕЛЬНЫХ ТРЕБОВАНИЙ ПРИ ОБРАБОТКЕ

ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИЯХ БАНКОВСКОЙ СИСТЕМЫ

РОССИЙСКОЙ ФЕДЕРАЦИИ

(на основе комплекса документов в области стандартизации

Банка России "Обеспечение информационной безопасности

организаций банковской системы Российской Федерации")

I. Введение

В Банк России, Ассоциацию российских банков и Ассоциацию региональных банков России (Ассоциацию "Россия") поступают многочисленные обращения организаций банковской системы Российской Федерации (БС РФ) по вопросу применения положений Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"). Банками отмечается, что выполнение норм Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных является крайне важной задачей и способствует защите интересов граждан.

С целью выполнения в организациях банковской системы Российской Федерации (далее - БС РФ) требований Федерального закона "О персональных данных" и требований (рекомендаций) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор), Федеральной службы безопасности Российской Федерации (далее - ФСБ России) и Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) Центральный банк Российской Федерации при участии Роскомнадзора, ФСБ России, ФСТЭК России (далее - Регуляторы, если по смыслу не требуется детализация), Ассоциации российских банков (далее - АРБ) и Ассоциации региональных банков России (Ассоциации "Россия") разработал отраслевые документы по приведению организаций БС РФ в соответствие с требованиями законодательства в области персональных данных. Эти документы включают:

1. Четыре документа, входящие в комплекс документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (далее - Комплекс БР ИББС):

- Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.4) (далее - Отраслевая модель угроз);

- Доработанные в части требований по обработке и обеспечению безопасности персональных данных в соответствии с Отраслевой моделью угроз стандарты Банка России отраслевого применения СТО БР ИББС-1.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - стандарт Банка России СТО БР ИББС-1.0) и СТО БР ИББС-1.2 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0";

- Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации" (далее - рекомендации в области стандартизации Банка России РС БР ИББС-2.3).

2. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ (далее - Методические рекомендации).

Методические рекомендации разработаны Ассоциацией российских банков и Ассоциацией региональных банков России (Ассоциацией "Россия") совместно с Банком России для обеспечения методической поддержки применения организациями БС РФ Комплекса БР ИББС.

Место вышеуказанной документации показано на примерной структурной схеме документационного обеспечения выполнения законодательных требований при обработке персональных данных в организациях БС РФ (Рис. 1).

Рис. 1. Примерная структурная схема верхних уровней

документационного обеспечения выполнения законодательных

требований при обработке персональных данных

в организации БС РФ

┌─────────────────────────────────────────────────────────────────────────┐
│             Федеральный закон от 27 июля 2006 года N 152-ФЗ             │
│                         "О персональных данных"                         │
│           (ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ БС РФ)           │
└────────────────────────────────────┬────────────────────────────────────┘
                                  ┌──┴─────────────────────────────────┬──────────┬──────┬───────────────────┐
                                  \/                                   │          │      │                   \/
           ┌──────────────────────────────────────────────┐            │          │      │    ┌───────────────────────────┐
           │Постановление Правительства РФ N 781 - 2007 г.│            │          │      │    │Постановление Правительства│
           │        (АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА)        │            │          │      │    │     РФ N 687 - 2008 г.    │
           └─┬────────┬─────────────────┬────────────────┬┘            │          │      │    │  (ОБРАБОТКА БЕЗ СРЕДСТВ   │
        ┌────┘        │                 │                └────┐        │          │      │    │       АВТОМАТИЗАЦИИ)      │
        \/            \/                \/                    \/       │          │      │    └┬─────────────────────┬────┘
┌─────────────┐ ┌────────────┐ ┌─────────────────┐ ┌─────────────────┐ │          │      │     │                     │
│Методические │ │Методические│ │Типовой регламент│ │Совместный приказ│ │          │      \/    \/                    │
│  документы  │ │ документы  │ │   по контролю   │ │   ФСБ, ФСТЭК,   │ │          │   ┌───────────────────────┐      │
│ФСТЭК России │ │ ФСБ России │ │  (надзору) ФСБ  │ │   Минкомсвязи   │ │          │   │   Административный    │      │
└────┬┬──────┬┘ └─┬─┬─┬──────┘ └────────┬────────┘ └───────┬─────────┘ │          │   │регламент Роскомнадзора│      │
      │               └────────────┐    │                  │           │          │   └──┬────────┬───────────┘      │
     ││      │    │ │              \/   \/                 \/          \/         │      │        │                  │
      │                    ┌────────────────────────────────────────────┐         │      │        │                  │
     │└──────┼────┼─┼─────"│Комплекс документов в области стандартизации│         │      │        │                  │
                           │  Банка России "Обеспечение информационной  │"────────┼──────┘        │                  │
     │       │    │ │      │безопасности организаций банковской системы │         │               │                  │
                           │       Российской Федерации" БР ИББС        ├─┐       │               │                  │
     │       │    │ │      └─┬──────────────────────────────────────────┘         │               │                  │
                                Методические рекомендации по выполнению   │       │               │                  │
     │ ┌ ─ ─ ┼ ─ ─┘ └ ─┐     │  законодательных требований при обработке          │               │                  │
                            ┌┤  персональных данных организациями БС РФ   │       │               │                  │
     │ │ ┌ ─ ┼ ─ ─ ─ ─ ┼ ─ ─┘└ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┌── ─ ─ ─ ─ ─ ─ ─ ─┬─ ─ ─┘       │               │                  │
                              ┌──────────────────┘                  └────────┐    │               │                  │
     │ │ │   │┌ ─ ─ ─ ─┼─ ─ ─ ┼ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ┐            \/   \/              \/                 \/
             └┼─ ─ ─ ──┼──┐   │                               ┌─┴──────────────────────────────────────────────────────────┐
     │ │ │    │        │  │   │   ┌───────────────────────────┤                          Положение                         │
     \/\/\/   \/       \/ \/  \/  \/                          │о порядке обработки персональных данных в организации БС РФ │
┌ ─ ─ ─ ─ ─ ─ ─ ┐     ┌──────────────┐                        │(с использованием и без использования средств автоматизации)├ ─ ─┐
   Положение          │   Политика   │                        └─┬─────────┬──────────────┬┬──────────────┬─────────────────┘
│об организации │     │информационной│                          \/        │              │└ ─ ─ ─ ─ ─ ─ "       Положение       │
  и проведению        │ безопасности │            ┌───────────────────┐   │              │               │об организации работы
│   работ по    │"─ -"│  организации │            │Список персональных│   │              \/            ┌" персональными данными │
  обеспечению         │    БС РФ     │            │     данных,       │   │  ┌────────────────────────┐  │работников организации
│ безопасности  │     └─┬─────┬────┬─┘            │  обрабатываемых   │   │  │   Перечень сведений    ││ └ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─ ─┘
  персональных          │     │    │              │в организации БС РФ│   │  │   конфиденциального    │
│ данных при их │       │     │    │              │  и содержащихся   │"─ ┼ "│ характера организации  ││
    обработке           │     │    │              │ в типовых формах  │   │  │БС РФ (с т.ч. банковская├┘
│    в ИСПД     │       │     │    │              │  документов (с    │   │  │ и коммерческая тайна,  │
   организации          │     │    └────────┐     │приложением типовых│   │  │  персональные данные)  │
│     БС РФ     │       │     └────┐        │     │      форм)        │   │  └────────────┬───────────┘
└ ─ ─ ─ ─ ─ ─ ─ ┘       │          │        │     └──────┬────────────┘   │               │
    │        │          │          │        │            │                │               │
    │        │          │          │        │            └────────────┐   │               │
    \/       \/         \/         │        │                         │   │               │
┌─────────────────────────┐        │        └──────────────────────┐  │   │               │
│Модель угроз безопасности│        \/                              │  │   │               │
│ персональных данных при │       ┌──────────────────────────┐     │  │   │               │
│   их обработке в ИСПД   │"─ ─ ─"│┌─────────────────────────┴┐    │  │   │               │
│    организации БС РФ    │       ││┌─────────────────────────┴┐   \/ \/  \/              │
└─────────────────────────┘       │││    Частные политики      │  ┌──────────────┐        │
                                  │││     информационной       │  │ Уведомление  │        │
                                  │││безопасности организации  │  │ об обработке │        │
                                  │││(по доступу, антивирусной,│  │ персональных │"───────┘
                                  └┤│криптографической защите  │  │   данных     │
                                   └┤        и другие)         │  │в Роскомнадзор│
                                    └──────────────────────────┘  └──────────────┘

II. Общие положения

Отраслевая модель угроз разработана на основе "Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных", рекомендованной ФСТЭК России, и содержит перечень угроз безопасности персональным данным, актуальных для организаций БС РФ.

Стандарты Банка России Банка России позволяют обеспечить защиту персональных данных, обрабатываемых как в информационных системах персональных данных (ИСПДн), т.е. в системах, целью создания которых является обработка персональных данных и к защите которых требования и рекомендации по обеспечению безопасности персональных данных предъявляют ФСБ России и ФСТЭК России, так и в иных автоматизированных банковских системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации (режим защиты сведений, составляющих банковскую тайну, коммерческую тайну и др.).

При введении Стандартов Банка России в организации БС РФ приказом требования по получению лицензий на деятельность по технической защите конфиденциальной информации и требования аттестации ИСПДн не являются обязательными (в соответствии с пунктом 9.6 СТО БР ИББС-1.0-2010).

В случае применения организацией БС РФ для обеспечения безопасности персональных данных шифровальных (криптографических) средств защиты информации (далее - СКЗИ), организации БС РФ обязаны получать лицензии ФСБ России в соответствии с законодательством Российской Федерации.

Рекомендации содержат набор практик, способствующих выполнению в организациях БС РФ требований Стандартов Банка России и тем самым - выполнению требований Федерального закона "О персональных данных", а также требований и рекомендаций Регуляторов.

III. Особенности и ограничения

В соответствии с Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании" все стандарты носят рекомендательный характер.

Вместе с тем, в случае введения их в организации БС РФ приказом, стандарты принимают статус документов, обязательных для выполнения в этой организации. В этом случае организация БС РФ добровольно принимает на себя обязательство внедрить Стандарты Банка России, оценить соответствие организации БС РФ его требованиям (с использованием стандарта Банка России СТО БР ИББС-1.2) и официально подтвердить это, направив в адрес Банка России и территориальных органов Регуляторов - Роскомнадзора, ФСТЭК России, ФСБ России (в пределах их полномочий) "Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0".

Если организация БС РФ не вводит Стандарты Банка России приказом, то ее деятельность при обработке персональных данных подлежит оценке при осуществлении надзора и контроля уполномоченными государственными органами на соответствие требованиям нормативных документов Регуляторов в области персональных данных, без учета отраслевых особенностей банковской сферы деятельности, отраженных в Комплексе БР ИББС.

IV. Программа действий по приведению организации БС РФ в соответствие с требованиями Федерального закона "О персональных данных"

1. Принятие решения о присоединении или неприсоединении к Стандартам Банка России. Подготовка и выпуск приказа.

2. Создание комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона "О персональных данных". Указанная комиссия будет координировать работы по приведению организации БС РФ в соответствие с требованиями Стандартов Банка России и настоящих рекомендаций и по проведению самооценки.

3. Разработка плана по приведению организации БС РФ в соответствие с требованиями Федерального закона "О персональных данных" (в соответствие с требованиями Стандартов Банка России).

4. Формирование перечня обрабатываемых персональных данных, а также формулирование целей и оснований для обработки этих данных.

5. Определение и выработка условий и принципов обработки персональных данных в организации БС РФ.

6. Составление перечня систем организации БС РФ, в которых обрабатываются персональные данные. Выделение ИСПДн и проведение их классификации.

7. Принятие решения о вводе в действие в организации БС РФ Отраслевой модели угроз. Разработка, в случае необходимости, собственной частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных организации БС РФ.

8. Оценка возможности обезличивания персональных данных. Проведение обезличивания. Проведение, в случае необходимости, повторной классификации ИСПДн.

9. Оценка существующих защитных мер на предмет соответствия требованиям Стандартов Банка России.

10. Решение вопроса о выделении необходимых материальных, кадровых и финансовых ресурсов для реализации мероприятий, предусмотренных планом мероприятий.

11. Реализация плана, включая выпуск необходимых документов. Доработка уже существующих документов с целью их соответствия требованиям Федерального закона "О персональных данных".

12. Проведение контроля в форме:

- Оценки соответствия организации БС РФ положениям стандарта Банка России СТО БР ИББС-1.0-2010 внешней организацией (аудита);

- Самооценки соответствия организации БС РФ положениям стандарта Банка России СТО БР ИББС-1.0-2010.

13. Выпуск документа о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям Регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий).

14. Направление этого документа в адрес Банка России и территориальных органов Регуляторов (по готовности, но не позже 31 декабря 2010 года, в дальнейшем - один раз в три года).

V. Комментарии к программе действий

a. Создание комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона "О персональных данных" (пункт 2 программы действий)

Перед началом работ по приведению организации БС РФ в соответствие с требованиями Федерального закона "О персональных данных" организационно-распорядительным порядком создается комиссия, на которую будет возлагаться реализация приведенных выше этапов. В состав данной комиссии входят представители юридического подразделения, подразделений общей и информационной безопасности, подразделений информатизации (разработки и обеспечения банковских технологий и обработки информации), кадровой службы (отдела кадров), управления делами (делопроизводства), подразделений по работе с клиентами (физическими лицами), а также представители других структурных подразделений, имеющих непосредственное отношение в организации БС РФ к сфере действия Федерального закона "О персональных данных".

Целесообразно, чтобы председатель комиссии был одновременно назначен ответственным за выполнение законодательных требований при обработке персональных данных в организации БС РФ.

Одной из задач комиссии является классификация информационных систем персональных данных.

После выполнения плана по приведению организации БС РФ в соответствие требованиям Федерального закона "О персональных данных" рекомендуется продолжить работу комиссии на постоянной основе.

b. Разработка плана по приведению в соответствие (пункт 3 программы действий)

Все этапы программы действий (кроме первого) могут быть детализированы в поэтапном плане по приведению организации БС РФ в соответствие с требованиями Федерального закона "О персональных данных".

Данный поэтапный план утверждается с указанием конкретных сроков реализации каждого этапа.

c. Типовой перечень персональных данных (пункт 4 программы действий)

В организации БС РФ рекомендуется сформировать перечень персональных данных с указанием целей и сроков их обработки (в т.ч. и хранения). Это позволит облегчить решение ряда задач, например:

разработка положения о защите персональных данных и иной организационно-распорядительной документации в области обработки персональных данных;

планирование и реализация мероприятий по защите персональных данных;

разработка уведомления в Роскомнадзор;

реагирование на запросы субъектов персональных данных.

При составлении Перечня персональных данных организация БС РФ может воспользоваться примерным перечнем, приведенным в Приложении 3.

При составлении перечня персональных данных, обрабатываемых организацией БС РФ, важно определить цели и сроки такой обработки. Например, если для регистрации паспортных данных посетителей организации БС РФ выбрана цель - "однократный проход посетителей на территорию организации БС РФ", то покидание посетителем организации БС РФ приводит к необходимости уничтожения зафиксированных персональных данных. Этого требует Федеральный закон "О персональных данных", так как по достижению цели обработки персональные данные должны быть уничтожены. Это пример некорректно выбранной цели. Теперь приведем пример некорректно выбранного срока хранения персональных данных. Если во внутренних документах организации БС РФ написано, что "хранение персональных данных персонала организации БС РФ осуществляется в течение срока действия трудового договора", то организация БС РФ может столкнуться с ситуацией, когда персональные данные уволенного работника должны быть удалены, а сделать это невозможно, так как эти данные должны быть использованы при предоставлении отчетности в органы Федеральной налоговой службы, Пенсионный Фонд Российской Федерации, Фонд обязательного медицинского страхования и т.п. С целью упрощения определения целей и сроков обработки персональных данных организация БС РФ может воспользоваться формулировками, приведенными в Перечне персональных данных, обрабатываемых организацией БС РФ (Приложение 3).

Данный этап также позволит выделить персональные данные, которые потребуют особых условий обработки, - видео и фотоизображения человека, геометрия руки и дактилоскопия, голосовые данные в центрах обработки вызовов и т.п.

При наличии в организации БС РФ утвержденного Перечня сведений конфиденциального характера допускается включить в него новый пункт - "персональные данные" (вместо разработки и утверждения отдельного Перечня обрабатываемых персональных данных). Это позволит легитимным образом распространить уже существующие режимы конфиденциальности, а также разработанную по этим вопросам нормативно-распорядительную документацию, и на обрабатываемые в организации БС РФ персональные данные.

При обработке персональных данных клиентов организации БС РФ рекомендуется минимизировать обработку персональных данных, отнесенных Федеральным законом "О персональных данных" (статья 10) к специальным категориям персональных данных.

d. Классификация ИСПДн (пункт 6 программы действий)

В связи с тем, что согласно статье 19 Федерального закона "О персональных данных" операторы обязаны защитить персональные данные от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий, то все ИСПДн организации БС РФ относятся к категории специальных в соответствии с пунктом 8 Порядка проведения классификации информационных систем персональных данных, утвержденного Приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".

Автоматизированные системы, в которых обрабатываются персональные данные, но целью работы которых не является обработка персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн.

По результатам классификации ИСПДн составляется Акт классификации.

e. Разработка частной модели угроз (пункт 7 программы действий)

В соответствии с пунктом 16 Порядка проведения классификации информационных систем персональных данных, утвержденного Приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных", для специальных информационных систем персональных данных должна быть разработана модель угроз безопасности персональных данных.

В качестве модели угроз безопасности персональных данных при их обработке в ИСПДн организация БС РФ может использовать Отраслевую модель угроз, содержащую актуальные угрозы безопасности персональных данных при обработке в ИСПДн организаций БС РФ (применительно к большинству организаций БС РФ) и согласованную с Регуляторами.

В случае необходимости, в организации БС РФ может быть составлена частная модель угроз безопасности персональных данных при их обработке в ИСПДн организации БС РФ (далее - частная модель угроз), учитывающая особенности обработки персональных данных в конкретной организации БС РФ.

В качестве методики выбора актуальных для организации БС РФ угроз и последующего составления частной модели угроз используются рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 "Обеспечение информационной безопасности организаций БС РФ. Методика оценки рисков нарушения информационной безопасности.

f. Оценка возможности обезличивания персональных данных (пункт 8 программы действий)

Персональные данные, обрабатываемые в ИСПДн, можно обезличить с целью понижения уровня требований по обеспечению безопасности. Согласно Федеральному закону "О персональных данных" обезличивание - это действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Полностью обезличить все персональные данные невозможно - в информационных системах всегда будут присутствовать технические средства (например, автоматизированные рабочие места операционистов или принтеры), на которых будет происходить процесс, обратный обезличиванию, - для целей сверки данных, печати на принтере, отправки по электронной почте и т.п.

На основе анализа национальных и международных стандартов "*" может быть составлен следующий список алгоритмов обезличивания персональных данных (см. Таблица 1).

--------------------------------

"*" NIST SP800-122 "Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)", BS10012:2009 "Data protection - Specification for a personal information management system", ISO 25237:2008 "Health informatics - Pseudonymization".

Таблица 1. Алгоритмы обезличивания персональных

данных (ПДн)

┌─────────────────────┬──────────────────────────┬────────────────────────┐
│      Алгоритм       │         Описание         │       Примечание       │
│    обезличивания    │                          │                        │
├─────────────────────┼──────────────────────────┼────────────────────────┤
│Абстрагирование ПДн  │Сделать ПДн менее  точными│Например,         вместо│
│                     │путем группирования  общих│указания     конкретного│
│                     │или            непрерывных│возраста    использовать│
│                     │характеристик             │кодификаторы  (18  -  25│
│                     │                          │лет - 2, 26 - 33 года  -│
│                     │                          │3 и т.д.)               │
├─────────────────────┼──────────────────────────┼────────────────────────┤
│Скрытие ПДн          │Удалить  все   или   часть│                        │
│                     │записи ПДн,  не  требуемой│                        │
│                     │для деятельности кредитной│                        │
│                     │организации               │                        │
├─────────────────────┼──────────────────────────┼────────────────────────┤
│Внесение шума в ПДн  │Добавить         небольшое│                        │
│                     │количество     посторонней│                        │
│                     │информации в ПДн          │                        │
├─────────────────────┼──────────────────────────┼────────────────────────┤
│Замена ПДн           │Переставить   поля   одной│                        │
│                     │записи  ПДн  с   теми   же│                        │
│                     │самыми    полями    другой│                        │
│                     │аналогичной записи        │                        │
├─────────────────────┼──────────────────────────┼────────────────────────┤
│Замена данных        │Заменить выбранные  данные│                        │
│средним значением    │средним   значением    для│                        │
│                     │группы ПДн                │                        │
├─────────────────────┼──────────────────────────┼────────────────────────┤
│Разделение ПДн на    │Использование       таблиц│Например,  вместо  одной│
│части                │перекрестных ссылок       │таблицы использовать две│
│                     │                          │-   одна   с    ФИО    и│
│                     │                          │идентификатором субъекта│
│                     │                          │ПДн, вторая - с  тем  же│
│                     │                          │идентификатором субъекта│
│                     │                          │ПДн и  остальной  частью│
│                     │                          │ПДн                     │
├─────────────────────┼──────────────────────────┼────────────────────────┤
│Использование        │Маскирование    ПДн    или│                        │
│специальных          │подмена       определенных│                        │
│алгоритмов           │символов другими          │                        │
├─────────────────────┼──────────────────────────┼────────────────────────┤
│Использование        │Хэширование или шифрование│                        │
│алгоритмов           │                          │                        │
│криптографического   │                          │                        │
│преобразования       │                          │                        │
└─────────────────────┴──────────────────────────┴────────────────────────┘

g. Реализация плана и документирование процесса обработки персональных данных (пункт 11 программы действий)

Обеспечение безопасности персональных данных осуществляется в соответствии с доработанными для использования в целях защиты персональных данных и согласованными с Регуляторами Стандартами Банка России.

Организация работ по обработке и обеспечению безопасности персональных данных сопровождается разработкой различных документов в соответствии с требованиями федерального законодательства, требованиями и рекомендациями Регуляторов. Эти документы разрабатываются в организации БС РФ и предъявляются Регуляторам в случае проведения ими контроля и надзора за соответствием обработки персональных данных законодательным требованиям. Примерный перечень документов приведен в Таблице 2, типовые шаблоны части этих документов приведены в приложениях к данным рекомендациям.

Таблица 2. Перечень документов

┌────┬────────────────────────────────────┬─────────────────┬──────────────────────────────┐
│ N  │              Документ              │   Ссылка "*"    │          Примечание          │
│п/п │                                    │                 │                              │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│1   │Приказ о создании комиссии по       │Раздел V пункт a │Одной из задач комиссии       │
│    │приведению организации БС РФ в      │Рекомендаций     │является классификация        │
│    │соответствие с требованиями         │                 │информационных систем         │
│    │Федерального закона "О персональных │                 │персональных данных. Шаблон   │
│    │данных"                             │                 │документа - в Приложении 1    │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│2   │План по приведению организации БС   │Раздел V пункт b │В Приложении 2 приведен пример│
│    │РФ в соответствие требованиям       │Рекомендаций     │такого плана                  │
│    │Федерального закона "О персональных │                 │                              │
│    │данных"                             │                 │                              │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│3   │Перечень персональных данных,       │Раздел V пункт c │В Приложении 3 приведен       │
│    │обрабатываемых организацией БС РФ в │Рекомендаций     │примерный перечень, который   │
│    │своей деятельности                  │                 │может быть скорректирован     │
│    │                                    │                 │(сокращен или дополнен) в     │
│    │                                    │                 │зависимости от специфики      │
│    │                                    │                 │деятельности организации БС РФ│
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│4   │Приказ о назначении ответственного  │Пункт 13         │Шаблон документа - в          │
│    │за обеспечение безопасности         │Постановления    │Приложении 4. Допускается     │
│    │персональных данных (структурного   │Правительства    │возложение ответственности на │
│    │подразделения или должностного      │N 781            │существующее в организации БС │
│    │лица)                               │Приказ ФСТЭК     │РФ подразделение (например, на│
│    │                                    │                 │службу безопасности) с        │
│    │                                    │                 │внесением изменений в         │
│    │                                    │                 │Положение о данном структурном│
│    │                                    │                 │подразделении                 │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│5   │Список лиц, доступ которых к        │Пункт 14         │Возможно существование перечня│
│    │персональным данным, обрабатываемым │Постановления    │(списка) в электронном виде,  │
│    │в ИСПДн, необходим для выполнения   │Правительства N  │при условии предоставления    │
│    │служебных (трудовых) обязанностей   │781              │работникам прав доступа в     │
│    │                                    │                 │ИСПДн только на основании     │
│    │                                    │                 │распорядительного документа в │
│    │                                    │                 │документально зафиксированном │
│    │                                    │                 │в организации БС РФ порядке.  │
│    │                                    │                 │В случае необходимости (в     │
│    │                                    │                 │частности, перед проведением  │
│    │                                    │                 │проверок) может быть          │
│    │                                    │                 │распечатан на бумажный        │
│    │                                    │                 │носитель в виде базы          │
│    │                                    │                 │пользователей, например,      │
│    │                                    │                 │Active Directory или          │
│    │                                    │                 │определенной ИСПДн            │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│6   │Список систем, в которых            │Раздел V пункт d │Шаблон документа - в          │
│    │обрабатываются персональные данные  │Рекомендаций     │Приложении 5                  │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│7   │Акт классификации информационных    │Пункт 18 Приказа │Шаблон документа - в          │
│    │систем персональных данных          │Раздел V пункт d │Приложении 6                  │
│    │организации БС РФ                   │Рекомендаций     │                              │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│8   │Заключение о возможности            │Пункт 12         │Шаблон документа - в          │
│    │эксплуатации средств защиты         │Постановления    │Приложении 7.                 │
│    │информации                          │Правительства N  │Заключение составляется по    │
│    │                                    │781              │результатам проверки          │
│    │                                    │                 │готовности средств защиты     │
│    │                                    │                 │информации к использованию.   │
│    │                                    │                 │Допускается издание актов     │
│    │                                    │                 │ввода в эксплуатацию АБС, в   │
│    │                                    │                 │состав которых входят средства│
│    │                                    │                 │и системы защиты информации   │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│9   │Политика информационной             │Постановление    │1. Разрабатывается на основе  │
│    │безопасности организации БС РФ, в   │Правительства N  │положений стандарта Банка     │
│    │части разделов, касающихся          │781              │России СТО БР ИББС-1.0-2010.  │
│    │обеспечения безопасности            │Пункт 16 Приказа │2. Включаются требования:     │
│    │персональных данных                 │Регламент ФСБ    │- по обеспечению безопасности │
│    │                                    │Документы ФСБ    │персональных данных в         │
│    │                                    │Приказ ФСТЭК     │организации БС РФ как при     │
│    │                                    │                 │обработке персональных данных │
│    │                                    │                 │в ИСПДн, так и вне ИСПДн;     │
│    │                                    │                 │- (в случае использования     │
│    │                                    │                 │СКЗИ) по обеспечению          │
│    │                                    │                 │безопасности персональных     │
│    │                                    │                 │данных при помощи СКЗИ;       │
│    │                                    │                 │- по хранению носителей       │
│    │                                    │                 │персональных данных;          │
│    │                                    │                 │- организации допуска и защиты│
│    │                                    │                 │помещений, в которых          │
│    │                                    │                 │обрабатываются персональные   │
│    │                                    │                 │данные;                       │
│    │                                    │                 │- и др.                       │
│    │                                    │                 │3. Может быть единым          │
│    │                                    │                 │документом (политика          │
│    │                                    │                 │информационной безопасности   │
│    │                                    │                 │организации БС РФ, включающая │
│    │                                    │                 │разделы, касающиеся           │
│    │                                    │                 │обеспечения безопасности      │
│    │                                    │                 │персональных данных) или      │
│    │                                    │                 │комплектом документов (набор  │
│    │                                    │                 │частных политик, включающих   │
│    │                                    │                 │разные аспекты обеспечения    │
│    │                                    │                 │безопасности персональных     │
│    │                                    │                 │данных)                       │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│10  │План проведения контроля (как       │Пункт 12         │1. Разрабатывается на основе  │
│    │внутреннего контроля, так и         │Постановления    │положений стандарта Банка     │
│    │контроля с привлечением внешних     │Правительства    │России СТО БР ИББС-1.0-2010.  │
│    │независимых проверяющих             │N 781            │2. Включает, в частности,     │
│    │организаций) обеспечения            │                 │контроль за соблюдением       │
│    │безопасности персональных данных    │                 │условий использования средств │
│    │                                    │                 │защиты информации,            │
│    │                                    │                 │предусмотренных               │
│    │                                    │                 │эксплуатационной и технической│
│    │                                    │                 │документацией                 │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│11  │Документы, подтверждающие           │Пункт 12         │Такими документами могут, в   │
│    │постановку на учет средств защиты   │Постановления    │частности, являться справки о │
│    │информации, применяемых в           │Правительства    │постановке на балансовый учет │
│    │организации БС РФ для обеспечения   │N 781            │                              │
│    │безопасности персональных данных    │                 │                              │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│12  │Журнал учета носителей персональных │Пункт 12         │Шаблон документа - в          │
│    │данных                              │Постановления    │Приложении 8.                 │
│    │                                    │Правительства    │Журнал нумеруется,            │
│    │                                    │N 781            │брошюруется, скрепляется      │
│    │                                    │                 │печатью и подписывается       │
│    │                                    │                 │работником, на которого       │
│    │                                    │                 │возложены соответствующие     │
│    │                                    │                 │обязанности                   │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│13  │Эксплуатационная и техническая      │Пункт 12         │Предоставляется разработчиком │
│    │документация на средства и системы  │Постановления    │или поставщиком средств и     │
│    │защиты информации                   │Правительства    │систем защиты информации.     │
│    │                                    │N 781            │Является описанием системы    │
│    │                                    │                 │защиты персональных данных    │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│14  │Частная модель угроз безопасности   │Пункт 12         │См. Раздел V пункт e          │
│    │персональных данных в организации   │Постановления    │Рекомендаций                  │
│    │БС РФ                               │Правительства    │                              │
│    │                                    │N 781            │                              │
│    │                                    │Пункт 16 Приказа │                              │
│    │                                    │Регламент ФСБ    │                              │
│    │                                    │Документы ФСБ    │                              │
│    │                                    │Приказ ФСТЭК     │                              │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│15  │Уведомление об обработке            │Статья 22 Закона │Типовая форма уведомления и   │
│    │персональных данных                 │Пункт 64.1.1     │рекомендации по ее заполнению │
│    │                                    │регламента       │на официальном интернет-сайте │
│    │                                    │Роскомнадзора    │Роскомнадзора www.rsoc.ru     │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│16  │Положение о порядке обработки       │Пункты 64.1.5,   │1. Разрабатывается на основе  │
│    │персональных данных                 │64.1.7 регламента│положений раздела 7.10        │
│    │                                    │Роскомнадзора    │стандарта Банка России СТО    │
│    │                                    │                 │БР ИББС-1.0-2010.             │
│    │                                    │                 │2. Содержит в том числе:      │
│    │                                    │                 │порядок и условия обработки   │
│    │                                    │                 │специальных категорий и       │
│    │                                    │                 │биометрических персональных   │
│    │                                    │                 │данных, порядок и условия     │
│    │                                    │                 │трансграничной передачи       │
│    │                                    │                 │персональных данных, порядок  │
│    │                                    │                 │обработки персональных данных,│
│    │                                    │                 │осуществляемой без            │
│    │                                    │                 │использования средств         │
│    │                                    │                 │автоматизации (если такая     │
│    │                                    │                 │обработка есть в организации  │
│    │                                    │                 │БС РФ)                        │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│17  │Документ, определяющий процедуру    │Пункт 67.1       │Такими документами могут быть,│
│    │допуска работников организации БС   │регламента       │например, утвержденная        │
│    │РФ к работе с персональными         │Роскомнадзора    │процедура допуска,            │
│    │данными                             │                 │распорядительные документы    │
│    │                                    │                 │организации БС РФ и т.п.      │
│    │                                    │                 │                              │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│18  │Должностные регламенты/инструкции   │Пункт 67.1       │Могут быть написаны явно или  │
│    │лиц, имеющих доступ и (или)         │регламента       │содержаться в иных документах,│
│    │осуществляющих обработку            │Роскомнадзора    │устанавливающих права,        │
│    │персональных данных                 │                 │полномочия и обязанности      │
│    │                                    │                 │работников организации БС РФ, │
│    │                                    │                 │имеющих доступ к информации,  │
│    │                                    │                 │защищаемой в соответствии с   │
│    │                                    │                 │действующим законодательством │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│19  │Типовые формы документов,           │Пункт 67.1       │Под типовой формой документа  │
│    │содержащие персональные данные      │регламента       │понимается шаблон, бланк      │
│    │                                    │Роскомнадзора    │документа или другая          │
│    │                                    │                 │унифицированная форма         │
│    │                                    │                 │документа, разрабатываемая    │
│    │                                    │                 │организацией с целью сбора    │
│    │                                    │                 │ПДн.                          │
│    │                                    │                 │Требования к типовым формам   │
│    │                                    │                 │установлены Постановлением    │
│    │                                    │                 │Правительства РФ от 15        │
│    │                                    │                 │сентября 2008 г. N 687 "Об    │
│    │                                    │                 │утверждении Положения об      │
│    │                                    │                 │особенностях обработки        │
│    │                                    │                 │персональных данных,          │
│    │                                    │                 │осуществляемой без            │
│    │                                    │                 │использования средств         │
│    │                                    │                 │автоматизации"                │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│20  │Журналы (реестры, книги),           │Пункт 67.1       │Требования к ведению          │
│    │содержащие персональные данные,     │регламента       │установлены Постановлением    │
│    │необходимые для однократного        │Роскомнадзора    │Правительства РФ от 15        │
│    │пропуска субъекта персональных      │                 │сентября 2008 г. N 687 "Об    │
│    │данных на территорию организации БС │                 │утверждении Положения об      │
│    │РФ, или в иных аналогичных целях    │                 │особенностях обработки        │
│    │                                    │                 │персональных данных,          │
│    │                                    │                 │осуществляемой без            │
│    │                                    │                 │использования средств         │
│    │                                    │                 │автоматизации"                │
│    │                                    │                 │Шаблон журнала разовых        │
│    │                                    │                 │пропусков - в Приложении 9    │
│    │                                    │                 │Журнал может вестись как в    │
│    │                                    │                 │бумажном, так и в электронном │
│    │                                    │                 │виде.                         │
│    │                                    │                 │В случае ведения журнала в    │
│    │                                    │                 │электронном виде в конце      │
│    │                                    │                 │установленного периода времени│
│    │                                    │                 │журнал распечатать,           │
│    │                                    │                 │пронумеровать, сброшюровать,  │
│    │                                    │                 │скрепить печатью и подписать  │
│    │                                    │                 │работником, на которого       │
│    │                                    │                 │возложены соответствующие     │
│    │                                    │                 │обязанности                   │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│21  │Договоры с субъектами персональных  │Пункт 67.1       │                              │
│    │данных                              │регламента       │                              │
│    │                                    │Роскомнадзора    │                              │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│22  │Типовая форма письменного согласия  │Пункт 64.1.4     │Шаблон документа - в          │
│    │субъектов персональных данных на    │регламента       │Приложении 10                 │
│    │обработку их персональных данных    │Роскомнадзора    │                              │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│23  │Документы, содержащие письменные    │Пункт 64.1.4     │Письменные согласия получает  │
│    │согласия субъектов персональных     │регламента       │организация БС РФ в           │
│    │данных на обработку их персональных │Роскомнадзора    │установленных                 │
│    │данных                              │                 │законодательством случаях     │
│    │                                    │                 │от клиентов и работников      │
│    │                                    │                 │организации БС РФ, от их      │
│    │                                    │                 │родственников, и других       │
│    │                                    │                 │субъектов, персональные данные│
│    │                                    │                 │которых обрабатывает          │
│    │                                    │                 │организация БС РФ             │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│24  │Журналы (книги) учета обращений     │Пункт 67.1       │Шаблон документа - в          │
│    │граждан (субъектов персональных     │регламента       │Приложении 11                 │
│    │данных) по вопросам обработки       │Роскомнадзора    │Журналы могут вестись как в   │
│    │персональных данных организацией БС │                 │бумажном, так и в электронном │
│    │РФ                                  │                 │виде.                         │
│    │                                    │                 │В случае ведения журнала в    │
│    │                                    │                 │электронном виде в конце      │
│    │                                    │                 │установленного периода времени│
│    │                                    │                 │журнал распечатать,           │
│    │                                    │                 │пронумеровать, сброшюровать,  │
│    │                                    │                 │скрепить печатью и подписать  │
│    │                                    │                 │работником, на которого       │
│    │                                    │                 │возложены соответствующие     │
│    │                                    │                 │обязанности                   │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│25  │Акт об уничтожении персональных     │Пункт 64.1.6     │Шаблон документа - в          │
│    │данных субъекта(ов) персональных    │регламента       │Приложении 12                 │
│    │данных (в случае достижения цели    │Роскомнадзора    │                              │
│    │обработки)                          │                 │                              │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│26  │Документы, содержащие свидетельства │Пункт 64.1.3     │1. В том случае, если ранее   │
│    │выполнения организацией предписаний │регламента       │проводились проверки.         │
│    │об устранении ранее выявленных      │Роскомнадзора    │2. Примерами таких документов │
│    │нарушений законодательства          │                 │могут быть планы устранения   │
│    │Российской Федерации в области      │                 │выявленных нарушений и        │
│    │персональных данных                 │                 │свидетельства выполнения      │
│    │                                    │                 │выявленных нарушений          │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│27  │Подтверждение соответствия          │Разделы III и IV │Шаблон документа - в          │
│    │организации БС РФ стандарту Банка   │Рекомендаций     │Приложении 13                 │
│    │России СТО БР ИББС-1.0-2010         │                 │                              │
└────┴────────────────────────────────────┴─────────────────┴──────────────────────────────┘

В случае использования организацией БС РФ для обеспечения безопасности персональных данных средств криптографической защиты информации (СКЗИ) помимо определенных выше документов разрабатываются следующие документы:

┌────┬────────────────────────────────────┬─────────────────┬──────────────────────────────┐
│28  │Акты ввода СКЗИ в эксплуатацию.     │Регламент ФСБ    │Допускается не составлять акты│
│    │Документы, содержащие описание      │Документы ФСБ    │ввода СКЗИ в эксплуатацию. При│
│    │соответствия размещения и монтажа   │                 │этом составляется заключение о│
│    │СКЗИ требованиям документации на    │                 │возможности эксплуатации СКЗИ │
│    │СКЗИ                                │                 │(по результатам проверки      │
│    │                                    │                 │готовности СКЗИ к             │
│    │                                    │                 │использованию и соответствия  │
│    │                                    │                 │размещения, монтажа и настроек│
│    │                                    │                 │СКЗИ требованиям документации │
│    │                                    │                 │на СКЗИ). Шаблон документа - в│
│    │                                    │                 │Приложении 7. Допускается     │
│    │                                    │                 │издание актов ввода в         │
│    │                                    │                 │эксплуатацию АБС, в состав    │
│    │                                    │                 │которых входят СКЗИ           │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│29  │Журнал поэкземплярного учета СКЗИ   │Регламент ФСБ    │Шаблон документа - в          │
│    │                                    │Документы ФСБ    │Приложении 14                 │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│30  │Порядок организации контроля за     │Регламент ФСБ    │Может быть написан явно или   │
│    │соблюдением условий использования   │Документы ФСБ    │содержаться в Методике        │
│    │СКЗИ                                │                 │внутреннего контроля          │
│    │                                    │                 │безопасности организации БС РФ│
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│31  │Договора на приобретение СКЗИ       │Регламент ФСБ    │                              │
│    │организации БС РФ (купли-продажи,   │Документы ФСБ    │                              │
│    │обмена)                             │                 │                              │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│32  │Лицензии и сертификаты на           │Регламент ФСБ    │                              │
│    │используемые СКЗИ (или разрешения   │Документы ФСБ    │                              │
│    │ФСБ на использования СКЗИ)          │                 │                              │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│33  │Эксплуатационная документация на    │Регламент ФСБ    │Предоставляется разработчиком │
│    │СКЗИ                                │Документы ФСБ    │или поставщиком средств и     │
│    │                                    │                 │систем защиты информации      │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│34  │Приказ о назначении лиц             │Регламент ФСБ    │Шаблон документа - в          │
│    │(пользователей СКЗИ), допущенных к  │Документы ФСБ    │Приложении 15                 │
│    │работе с ключами СКЗИ               │                 │                              │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│35  │Документы, подтверждающие           │Регламент ФСБ    │Должностные инструкции и      │
│    │функциональные обязанности          │Документы ФСБ    │регламенты                    │
│    │работников организации БС РФ        │                 │                              │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│36  │Документы, подтверждающие           │Регламент ФСБ    │Сертификаты, справки, отчеты и│
│    │прохождение обучения работников     │Документы ФСБ    │др.                           │
│    │организации БС РФ                   │                 │                              │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│37  │Журнал учета криптографических      │Регламент ФСБ    │Шаблон документа - в          │
│    │ключей                              │Документы ФСБ    │Приложении 16                 │
├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤
│38  │Акт о комиссионном уничтожении      │Регламент ФСБ    │Шаблон документа - в          │
│    │криптографических ключей            │Документы ФСБ    │Приложении 17                 │
└────┴────────────────────────────────────┴─────────────────┴──────────────────────────────┘

--------------------------------

"*" В столбце приведены сокращенные названия документов:

1. Рекомендации - Рекомендации по выполнению законодательных требований при обработке персональных данных в организации БС РФ.

2. Закон - Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

3. Постановление Правительства N 781 - Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

4. Приказ - Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".

5. Приказ ФСТЭК - Приказ федеральной службы по техническому и экспортному контролю от 5 февраля 2010 года N 58 "Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных".

6. Документы ФСБ - "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных", "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" (утверждены Руководством 8 Центра ФСБ России 21 февраля 2008 года).

7. Регламент ФСБ - Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утвержден Руководством 8 Центра ФСБ России 8 августа 2009 года N 149/7/2/6-1173).

8. Регламент Роскомнадзора - Административный регламент проведения проверок Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утвержден Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций N 630 от 01.12.2009).

Приложение 1

                                  ПРИКАЗ

                     О создании комиссии по приведению
___________________________________________________________________________
                     (наименование организации БС РФ)

             в соответствие с требованиями Федерального закона
           от 27 июля 2006 года N 152-ФЗ "О персональных данных"

    С   целью   исполнения   законодательных   требований   при   обработке
персональных данных в _____________________________________________________
                                (наименование организации БС РФ)

ПРИКАЗЫВАЮ:

    1. Создать комиссию по приведению _____________________________________
                                         (наименование организации БС РФ)
в  соответствие  с  требованиями  Федерального  закона от 27 июля 2006 года
N 152-ФЗ "О персональных данных" в составе:

Председатель комиссии:

┌──────────────────────┬──────────────────────────────────────────────────┐
│ФИО                   │Должность                                         │
├──────────────────────┼──────────────────────────────────────────────────┤
│                      │                                                  │
└──────────────────────┴──────────────────────────────────────────────────┘

Члены комиссии:

┌──────────────────────┬──────────────────────────────────────────────────┐
│ФИО                   │Должность                                         │
├──────────────────────┼──────────────────────────────────────────────────┤
│                      │                                                  │
└──────────────────────┴──────────────────────────────────────────────────┘

    2.   Возложить   на   созданную   комиссию   задачу   по  классификации
информационных   систем   персональных  данных,  а  также  иные  задачи  по
приведению ________________________________________________________________
                          (наименование организации БС РФ)
в   соответствие  с  требованиями  Федерального закона от 27 июля 2006 года
N 152-ФЗ "О персональных данных".

2. Контроль за исполнением настоящего Приказа оставляю за собой.

"Руководитель организации":               _______________ /               /

                                                 "__" _____________ 20__ г.

Приложение 2

                                                                  Утверждаю
                                           "руководитель организации БС РФ"
                                                                        ФИО
                                            _______________________________
                                                    "__" __________ 20__ г.

           План приведения ____________________________________
                             (наименование организации БС РФ)
             в соответствие с требованиями Федерального закона
           от 27 июля 2006 года N 152-ФЗ "О персональных данных"

┌───┬────────────────────┬──────────┬─────────────┬──────────┬──────┬────────┬─────────────┐
│ N │    Наименование    │Основание │    Форма    │  Статус  │Срок  │Ответст-│ Примечание  │
│п/п│    мероприятия     │(норматив-│ реализации  │реализации│выпол-│венное  │             │
│   │                    │ный акт)  │             │          │нения │лицо    │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│1. │Изучить бизнес-     │          │             │          │      │        │             │
│   │процессы организации│          │             │          │      │        │             │
│   │БС РФ и             │          │             │          │      │        │             │
│   │технологические     │          │             │          │      │        │             │
│   │процессы обработки  │          │             │          │      │        │             │
│   │информации          │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│2. │Идентифицировать и  │          │             │          │      │        │             │
│   │описать все бизнес- │          │             │          │      │        │             │
│   │процессы            │          │             │          │      │        │             │
│   │(технологические    │          │             │          │      │        │             │
│   │процессы), в рамках │          │             │          │      │        │             │
│   │которых             │          │             │          │      │        │             │
│   │обрабатываются ПДн  │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│3. │Определить, какие   │          │             │          │      │        │             │
│   │программные и       │          │             │          │      │        │             │
│   │технические средства│          │             │          │      │        │             │
│   │используются в      │          │             │          │      │        │             │
│   │технологических     │          │             │          │      │        │             │
│   │процессах, в рамках │          │             │          │      │        │             │
│   │которых             │          │             │          │      │        │             │
│   │обрабатываются ПДн  │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│4. │Определить          │          │             │          │      │        │             │
│   │работников          │          │             │          │      │        │             │
│   │организации         │          │             │          │      │        │             │
│   │(должности),        │          │             │          │      │        │             │
│   │участвующих в       │          │             │          │      │        │             │
│   │технологических     │          │             │          │      │        │             │
│   │процессах, в рамках │          │             │          │      │        │             │
│   │которых             │          │             │          │      │        │             │
│   │обрабатываются ПДн  │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│5. │Определить состав   │          │Проект       │          │      │        │             │
│   │обрабатываемых в    │          │перечня ПДн  │          │      │        │             │
│   │организации ПДн     │          │             │          │      │        │             │
│   │(тип, категория,    │          │             │          │      │        │             │
│   │объем)              │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│6. │Определить цели,    │          │Проект       │          │      │        │             │
│   │правовое основание, │          │перечня ПДн  │          │      │        │             │
│   │условия и принципы  │          │             │          │      │        │             │
│   │обработки ПДн       │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│7. │Определить,         │          │Проект       │          │      │        │             │
│   │выполняется ли      │          │перечня ПДн  │          │      │        │             │
│   │обработка           │          │             │          │      │        │             │
│   │специальных         │          │             │          │      │        │             │
│   │категорий ПДн. Если │          │             │          │      │        │             │
│   │да, то на каком     │          │             │          │      │        │             │
│   │основании           │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│8. │Определить к какому │          │Проект       │          │      │        │             │
│   │типу защищаемой     │          │перечня ПДн  │          │      │        │             │
│   │(коммерческая тайна,│          │             │          │      │        │             │
│   │банковская тайна и  │          │             │          │      │        │             │
│   │др.) информации     │          │             │          │      │        │             │
│   │относятся ПДн       │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│9. │Сопоставить объем   │          │Перечень ПДн │          │      │        │             │
│   │собираемых ПДн целям│          │             │          │      │        │             │
│   │обработки (убрать   │          │             │          │      │        │             │
│   │избыточные данные)  │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│10.│Определить срок     │          │Перечень ПДн │          │      │        │             │
│   │хранения ПДн        │          │или отдельный│          │      │        │             │
│   │                    │          │нормативный  │          │      │        │             │
│   │                    │          │акт          │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│11.│Определить          │          │Согласие     │          │      │        │             │
│   │необходимость       │          │субъектов на │          │      │        │             │
│   │получения согласия  │          │обработку ПДн│          │      │        │             │
│   │на обработку ПДн и  │          │             │          │      │        │             │
│   │для тех случаев,    │          │             │          │      │        │             │
│   │когда необходимо    │          │             │          │      │        │             │
│   │получить такое      │          │             │          │      │        │             │
│   │согласие в          │          │             │          │      │        │             │
│   │письменном виде     │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│12.│Сообщать субъекту   │          │Скорректиро- │          │      │        │             │
│   │ПДн о целях         │          │ванные формы │          │      │        │             │
│   │обработки при сборе │          │договоров с  │          │      │        │             │
│   │сведений,           │          │субъектами   │          │      │        │             │
│   │составляющих ПДн    │          │персональных │          │      │        │             │
│   │                    │          │данных       │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│13.│Определить ПДн,     │          │Типовая форма│          │      │        │             │
│   │получаемые не       │          │уведомления  │          │      │        │             │
│   │непосредственно от  │          │субъектов    │          │      │        │             │
│   │субъекта ПДн, и для │          │             │          │      │        │             │
│   │таких случаев       │          │             │          │      │        │             │
│   │уведомить           │          │             │          │      │        │             │
│   │субъектов           │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│14.│Определить порядок  │          │             │          │      │        │             │
│   │передачи ПДн        │          │             │          │      │        │             │
│   │сторонним           │          │             │          │      │        │             │
│   │организациям и      │          │             │          │      │        │             │
│   │лицам               │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│15.│Определить          │          │Изменение    │          │      │        │             │
│   │договорные          │          │форм         │          │      │        │             │
│   │взаимоотношения, в  │          │договоров и  │          │      │        │             │
│   │рамках которых      │          │заключение   │          │      │        │             │
│   │выполняется         │          │дополнитель- │          │      │        │             │
│   │передача ПДн        │          │ных          │          │      │        │             │
│   │третьей стороне и   │          │соглашений к │          │      │        │             │
│   │внести в такие      │          │действующим  │          │      │        │             │
│   │договора требования │          │договорам    │          │      │        │             │
│   │об обеспечении      │          │             │          │      │        │             │
│   │конфиденциальности  │          │             │          │      │        │             │
│   │передаваемых ПДн    │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│16.│Определить,         │          │             │          │      │        │             │
│   │выполняется ли      │          │             │          │      │        │             │
│   │трансграничная      │          │             │          │      │        │             │
│   │передача ПДн. Если  │          │             │          │      │        │             │
│   │да, то убедиться,   │          │             │          │      │        │             │
│   │что иностранным     │          │             │          │      │        │             │
│   │государством, на    │          │             │          │      │        │             │
│   │территорию которого │          │             │          │      │        │             │
│   │осуществляется      │          │             │          │      │        │             │
│   │передача            │          │             │          │      │        │             │
│   │персональных        │          │             │          │      │        │             │
│   │данных,             │          │             │          │      │        │             │
│   │обеспечивается      │          │             │          │      │        │             │
│   │адекватная защита   │          │             │          │      │        │             │
│   │прав субъектов      │          │             │          │      │        │             │
│   │персональных        │          │             │          │      │        │             │
│   │данных, или в       │          │             │          │      │        │             │
│   │противном случае    │          │             │          │      │        │             │
│   │имеется обоснование │          │             │          │      │        │             │
│   │для такой передачи  │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│17.│Определить порядок  │          │Регламент    │          │      │        │             │
│   │реагирования на     │          │реагирования │          │      │        │             │
│   │запросы со стороны  │          │на обращения │          │      │        │             │
│   │субъектов ПДн и     │          │субъектов.   │          │      │        │             │
│   │предоставления им   │          │Журналы      │          │      │        │             │
│   │их ПДн, внесения    │          │(книги) учета│          │      │        │             │
│   │изменений,          │          │обращений    │          │      │        │             │
│   │прекращения         │          │субъектов    │          │      │        │             │
│   │обработки ПДн       │          │персональных │          │      │        │             │
│   │                    │          │данных.      │          │      │        │             │
│   │                    │          │Типовая форма│          │      │        │             │
│   │                    │          │ответа на    │          │      │        │             │
│   │                    │          │запросы      │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│18.│Определить порядок  │          │Инструкция по│          │      │        │             │
│   │уничтожения ПДн     │          │уничтожению  │          │      │        │             │
│   │после достижения    │          │ПДн.         │          │      │        │             │
│   │целей обработки     │          │Акт об       │          │      │        │             │
│   │                    │          │уничтожении  │          │      │        │             │
│   │                    │          │персональных │          │      │        │             │
│   │                    │          │данных       │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│19.│Определить          │          │Уведомление  │          │      │        │             │
│   │необходимость       │          │Роскомнадзора│          │      │        │             │
│   │уведомления         │          │             │          │      │        │             │
│   │уполномоченного     │          │             │          │      │        │             │
│   │органа по защите    │          │             │          │      │        │             │
│   │ПДн о начале        │          │             │          │      │        │             │
│   │обработки ПДн. Если │          │             │          │      │        │             │
│   │необходимость есть, │          │             │          │      │        │             │
│   │то составить и      │          │             │          │      │        │             │
│   │отправить           │          │             │          │      │        │             │
│   │уведомление         │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│20.│Определить          │          │Приказ о     │          │      │        │             │
│   │структурное         │          │назначении   │          │      │        │             │
│   │подразделение или   │          │ответствен-  │          │      │        │             │
│   │должностное лицо,   │          │ного         │          │      │        │             │
│   │ответственное за    │          │             │          │      │        │             │
│   │обеспечение         │          │             │          │      │        │             │
│   │безопасности ПДн    │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│21.│Провести анализ     │          │Список       │          │      │        │             │
│   │систем организации  │          │систем, в    │          │      │        │             │
│   │и составить         │          │которых      │          │      │        │             │
│   │перечень систем, в  │          │обрабатывают-│          │      │        │             │
│   │которых             │          │ся           │          │      │        │             │
│   │обрабатываются      │          │персональные │          │      │        │             │
│   │персональные        │          │данные       │          │      │        │             │
│   │данные. Выделить    │          │             │          │      │        │             │
│   │ИСПДн               │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│22.│Выявить ИСПДн (в    │          │             │          │      │        │Обеспечение  │
│   │том числе           │          │             │          │      │        │безопасности │
│   │государственные) и  │          │             │          │      │        │ПДн в таких  │
│   │их границы (в       │          │             │          │      │        │системах сле-│
│   │рамках организации  │          │             │          │      │        │дует осущест-│
│   │БС РФ), в отношении │          │             │          │      │        │влять в соот-│
│   │которых организация │          │             │          │      │        │ветствии с   │
│   │не определяет цели  │          │             │          │      │        │предъявляемы-│
│   │обработки и         │          │             │          │      │        │ми их органи-│
│   │требования по       │          │             │          │      │        │затором (вла-│
│   │защите (например,   │          │             │          │      │        │дельцем) тре-│
│   │передача отчетности │          │             │          │      │        │бованиями    │
│   │в Пенсионный фонд,  │          │             │          │      │        │             │
│   │ФНС, ФОМС и др.)    │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│23.│Разработать модель  │          │Приказ о     │          │      │        │             │
│   │угроз ПДн           │          │вводе в      │          │      │        │             │
│   │                    │          │действие в   │          │      │        │             │
│   │                    │          │организации  │          │      │        │             │
│   │                    │          │БС РФ        │          │      │        │             │
│   │                    │          │Отраслевой   │          │      │        │             │
│   │                    │          │модели угроз │          │      │        │             │
│   │                    │          │или          │          │      │        │             │
│   │                    │          │Частная      │          │      │        │             │
│   │                    │          │модель угроз │          │      │        │             │
│   │                    │          │безопасности │          │      │        │             │
│   │                    │          │ПДн          │          │      │        │             │
│   │                    │          │организации  │          │      │        │             │
│   │                    │          │БС РФ        │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│24.│Провести            │          │Акты         │          │      │        │             │
│   │классификацию       │          │классификации│          │      │        │             │
│   │ИСПДн               │          │ИСПДн        │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│25.│Оценить             │          │             │          │      │        │             │
│   │необходимость и     │          │             │          │      │        │             │
│   │возможности         │          │             │          │      │        │             │
│   │обезличивания ПДн.  │          │             │          │      │        │             │
│   │Провести            │          │             │          │      │        │             │
│   │обезличивание ПДн.  │          │             │          │      │        │             │
│   │При необходимости   │          │             │          │      │        │             │
│   │провести повторную  │          │             │          │      │        │             │
│   │классификацию ИСПДн │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│26.│Определить          │          │Политика     │          │      │        │             │
│   │требования и меры   │          │информацион- │          │      │        │             │
│   │по обеспечению      │          │ной          │          │      │        │             │
│   │безопасности ПДн    │          │безопасности │          │      │        │             │
│   │                    │          │или отдельный│          │      │        │             │
│   │                    │          │документ     │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│27.│Разработать         │          │Политика     │          │      │        │             │
│   │требования по       │          │информацион- │          │      │        │             │
│   │обеспечению         │          │ной          │          │      │        │             │
│   │безопасности ПДн    │          │безопасности │          │      │        │             │
│   │при обработке в     │          │или отдельный│          │      │        │             │
│   │ИСПДн               │          │документ,    │          │      │        │             │
│   │                    │          │содержащий   │          │      │        │             │
│   │                    │          │требования по│          │      │        │             │
│   │                    │          │обеспечению  │          │      │        │             │
│   │                    │          │безопасности │          │      │        │             │
│   │                    │          │ПДн          │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│28.│Разработать         │          │Должностные  │          │      │        │             │
│   │должностные         │          │инструкции   │          │      │        │             │
│   │инструкции          │          │персонала и  │          │      │        │             │
│   │персоналу ИСПДн в   │          │журнал       │          │      │        │             │
│   │части обеспечения   │          │инструктажа  │          │      │        │             │
│   │безопасности ПДн    │          │             │          │      │        │             │
│   │при их обработке в  │          │             │          │      │        │             │
│   │ИСПДн               │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│29.│Определить порядок  │          │Журнал учета │          │      │        │             │
│   │действий            │          │нештатных    │          │      │        │             │
│   │должностных лиц в   │          │ситуаций     │          │      │        │             │
│   │случае              │          │             │          │      │        │             │
│   │возникновения       │          │             │          │      │        │             │
│   │нештатных ситуаций  │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│30.│Определить порядок  │          │Политика     │          │      │        │             │
│   │проведения контроля │          │информацион- │          │      │        │             │
│   │обеспечения         │          │ной          │          │      │        │             │
│   │безопасности ПДн    │          │безопасности │          │      │        │             │
│   │                    │          │или отдельный│          │      │        │             │
│   │                    │          │документ     │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│31.│Анализ существующих │          │             │          │      │        │             │
│   │защитных мер на     │          │             │          │      │        │             │
│   │предмет             │          │             │          │      │        │             │
│   │соответствия        │          │             │          │      │        │             │
│   │требованиям         │          │             │          │      │        │             │
│   │Стандартов Банка    │          │             │          │      │        │             │
│   │России и            │          │             │          │      │        │             │
│   │требованиям,        │          │             │          │      │        │             │
│   │определенным на     │          │             │          │      │        │             │
│   │этапах 19, 20       │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│32.│Выявление           │          │             │          │      │        │             │
│   │невыполненных в     │          │             │          │      │        │             │
│   │организации         │          │             │          │      │        │             │
│   │требований          │          │             │          │      │        │             │
│   │Стандартов Банка    │          │             │          │      │        │             │
│   │России и            │          │             │          │      │        │             │
│   │требований,         │          │             │          │      │        │             │
│   │определенных на     │          │             │          │      │        │             │
│   │этапах 19, 20,      │          │             │          │      │        │             │
│   │принятие решений о  │          │             │          │      │        │             │
│   │создании системы    │          │             │          │      │        │             │
│   │защиты персональных │          │             │          │      │        │             │
│   │данных, доработке   │          │             │          │      │        │             │
│   │ИСПДн, доработке    │          │             │          │      │        │             │
│   │документов          │          │             │          │      │        │             │
│   │организации БС РФ и │          │             │          │      │        │             │
│   │др.                 │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│33.│Организовать        │          │Приказы,     │          │      │        │             │
│   │разработку системы  │          │Распоряжения,│          │      │        │             │
│   │обеспечения         │          │Договоры с   │          │      │        │             │
│   │безопасности        │          │организация- │          │      │        │             │
│   │персональных данных │          │ми, которые  │          │      │        │             │
│   │на основе положений │          │проводят     │          │      │        │             │
│   │ГОСТ 34 серии       │          │работы по    │          │      │        │             │
│   │                    │          │созданию     │          │      │        │             │
│   │                    │          │системы      │          │      │        │             │
│   │                    │          │защиты       │          │      │        │             │
│   │                    │          │информации,  │          │      │        │             │
│   │                    │          │Документы в  │          │      │        │             │
│   │                    │          │соответствии │          │      │        │             │
│   │                    │          │с положениями│          │      │        │             │
│   │                    │          │ГОСТ 34 серии│          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│34.│Разработать систему │          │             │          │      │        │             │
│   │защиты в            │          │             │          │      │        │             │
│   │соответствии с      │          │             │          │      │        │             │
│   │положениями         │          │             │          │      │        │             │
│   │Стандартов Банка    │          │             │          │      │        │             │
│   │России и            │          │             │          │      │        │             │
│   │требованиями,       │          │             │          │      │        │             │
│   │определенным на     │          │             │          │      │        │             │
│   │этапах 19, 20       │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│35.│Разработка          │          │Технические  │          │      │        │             │
│   │технических заданий │          │задания.     │          │      │        │             │
│   │на создание системы │          │Частные      │          │      │        │             │
│   │защиты.             │          │технические  │          │      │        │             │
│   │Разработка частных  │          │задания      │          │      │        │             │
│   │технических заданий │          │             │          │      │        │             │
│   │на доработку ИСПДн  │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│36.│Вести учет носителей│          │Справки,     │          │      │        │             │
│   │ПДн, СЗИ, в том     │          │Журналы учета│          │      │        │             │
│   │числе поэкземплярный│          │             │          │      │        │             │
│   │учет СКЗИ,          │          │             │          │      │        │             │
│   │криптографических   │          │             │          │      │        │             │
│   │ключей              │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│37.│Назначить приказом  │          │Приказ о     │          │      │        │             │
│   │ответственного      │          │назначении   │          │      │        │             │
│   │пользователя СКЗИ,  │          │ответствен-  │          │      │        │             │
│   │имеющего необходимый│          │ного за СКЗИ │          │      │        │             │
│   │уровень квалификации│          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│38.│Обеспечить          │          │             │          │      │        │             │
│   │размещение,         │          │             │          │      │        │             │
│   │специальное         │          │             │          │      │        │             │
│   │оборудование, охрану│          │             │          │      │        │             │
│   │и организацию режима│          │             │          │      │        │             │
│   │в помещениях, где   │          │             │          │      │        │             │
│   │установлены СКЗИ или│          │             │          │      │        │             │
│   │хранятся            │          │             │          │      │        │             │
│   │криптографические   │          │             │          │      │        │             │
│   │ключи               │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│39.│Определить          │          │Приказы,     │          │      │        │             │
│   │подразделения и     │          │распоряжения │          │      │        │             │
│   │назначить лиц,      │          │             │          │      │        │             │
│   │ответственных за    │          │             │          │      │        │             │
│   │эксплуатацию средств│          │             │          │      │        │             │
│   │защиты информации с │          │             │          │      │        │             │
│   │их обучением по     │          │             │          │      │        │             │
│   │направлению         │          │             │          │      │        │             │
│   │обеспечения         │          │             │          │      │        │             │
│   │безопасности ПДн    │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│40.│Провести обучение   │          │Документы о  │          │      │        │             │
│   │лиц, использующих   │          │прохождении  │          │      │        │             │
│   │средства защиты     │          │обучения     │          │      │        │             │
│   │информации,         │          │             │          │      │        │             │
│   │применяемые в       │          │             │          │      │        │             │
│   │информационных      │          │             │          │      │        │             │
│   │системах, правилам  │          │             │          │      │        │             │
│   │работы с ними       │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│41.│Доработка           │          │Документы    │          │      │        │             │
│   │существующих        │          │             │          │      │        │             │
│   │документов и        │          │             │          │      │        │             │
│   │разработка новых    │          │             │          │      │        │             │
│   │документов с целью  │          │             │          │      │        │             │
│   │приведения          │          │             │          │      │        │             │
│   │документов          │          │             │          │      │        │             │
│   │организации в       │          │             │          │      │        │             │
│   │соответствие с      │          │             │          │      │        │             │
│   │требованиями        │          │             │          │      │        │             │
│   │Федерального закона │          │             │          │      │        │             │
│   │"О персональных     │          │             │          │      │        │             │
│   │данных" и Стандартов│          │             │          │      │        │             │
│   │Банка России        │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│42.│Определить          │          │Лицензии     │          │      │        │             │
│   │необходимость       │          │             │          │      │        │             │
│   │получения лицензий  │          │             │          │      │        │             │
│   │(в соответствии с   │          │             │          │      │        │             │
│   │пунктами 9.6 и 9.7  │          │             │          │      │        │             │
│   │СТО БР ИББС-1.0-    │          │             │          │      │        │             │
│   │2010)               │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│43.│Проводить           │          │Журнал учета │          │      │        │             │
│   │разбирательство и   │          │нештатных    │          │      │        │             │
│   │составление         │          │ситуаций     │          │      │        │             │
│   │заключений по фактам│          │             │          │      │        │             │
│   │несоблюдения условий│          │             │          │      │        │             │
│   │хранения носителей  │          │             │          │      │        │             │
│   │персональных данных,│          │             │          │      │        │             │
│   │использования       │          │             │          │      │        │             │
│   │средств защиты      │          │             │          │      │        │             │
│   │информации, которые │          │             │          │      │        │             │
│   │могут привести к    │          │             │          │      │        │             │
│   │нарушению           │          │             │          │      │        │             │
│   │конфиденциальности  │          │             │          │      │        │             │
│   │персональных данных │          │             │          │      │        │             │
│   │или другим          │          │             │          │      │        │             │
│   │нарушениям,         │          │             │          │      │        │             │
│   │приводящим к        │          │             │          │      │        │             │
│   │снижению уровня     │          │             │          │      │        │             │
│   │защищенности        │          │             │          │      │        │             │
│   │персональных данных,│          │             │          │      │        │             │
│   │разработку и        │          │             │          │      │        │             │
│   │принятие мер по     │          │             │          │      │        │             │
│   │предотвращению      │          │             │          │      │        │             │
│   │возможных опасных   │          │             │          │      │        │             │
│   │последствий подобных│          │             │          │      │        │             │
│   │нарушений           │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│44.│Выполнять постоянный│          │Справки,     │          │      │        │             │
│   │контроль обеспечения│          │отчеты       │          │      │        │             │
│   │безопасности ПДн    │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│45.│Провести самооценку │          │Отчет о      │          │      │        │             │
│   │соответствия        │          │результатах. │          │      │        │             │
│   │информационной      │          │План         │          │      │        │             │
│   │безопасности (в том │          │устранения   │          │      │        │             │
│   │числе обеспечения   │          │выявленных   │          │      │        │             │
│   │безопасности        │          │недостатков  │          │      │        │             │
│   │персональных данных)│          │             │          │      │        │             │
│   │требованиям СТО БР  │          │             │          │      │        │             │
│   │ИББС-1.0-20....     │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│46.│Провести внешнюю    │          │Отчет и      │          │      │        │             │
│   │оценку соответствия │          │Заключение.  │          │      │        │             │
│   │информационной      │          │План         │          │      │        │             │
│   │безопасности (в том │          │устранения   │          │      │        │             │
│   │числе обеспечения   │          │выявленных   │          │      │        │             │
│   │безопасности        │          │недостатков  │          │      │        │             │
│   │персональных данных)│          │             │          │      │        │             │
│   │требованиям СТО БР  │          │             │          │      │        │             │
│   │ИББС-1.0-20....     │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│47.│Подготовить и       │          │Подтверждение│          │      │        │             │
│   │утвердить           │          │соответствия │          │      │        │             │
│   │"Подтверждение      │          │организации  │          │      │        │             │
│   │соответствия        │          │БС РФ        │          │      │        │             │
│   │организации БС РФ   │          │стандарту    │          │      │        │             │
│   │стандарту Банка     │          │Банка России │          │      │        │             │
│   │России СТО БР ИББС- │          │СТО БР ИББС- │          │      │        │             │
│   │1.0-2010"           │          │1.0-2010     │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│48.│Направить           │          │             │          │      │        │             │
│   │"Подтверждение      │          │             │          │      │        │             │
│   │соответствия        │          │             │          │      │        │             │
│   │организации БС РФ   │          │             │          │      │        │             │
│   │стандарту Банка     │          │             │          │      │        │             │
│   │России СТО БР ИББС- │          │             │          │      │        │             │
│   │1.0-2010"           │          │             │          │      │        │             │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│49.│Выполнять постоянный│          │Справки,     │          │      │        │             │
│   │контроль обеспечения│          │отчеты,      │          │      │        │             │
│   │безопасности ПДн    │          │заключения   │          │      │        │             │
└───┴────────────────────┴──────────┴─────────────┴──────────┴──────┴────────┴─────────────┘

Приложение 3

                                                                  Утверждаю
                                           "руководитель организации БС РФ"
                                                                        ФИО
                                           ________________________________
                                           "__" ___________________ 20__ г.

              Перечень персональных данных, обрабатываемых в
___________________________________________________________________________
                     (наименование организации БС РФ)

                            1. ОБЩИЕ ПОЛОЖЕНИЯ

          1.1. Перечень персональных данных, подлежащих защите в
___________________________________________________________________________
                     (наименование организации БС РФ)
(далее  -  Перечень),  разработан  в  соответствии  с  Федеральным  законом
от   27   июля    2006    г.    N    152-ФЗ    "О  персональных  данных"  и
Уставом ________________________________ (далее - Организации).
        (наименование организации БС РФ)

               2. СВЕДЕНИЯ, СОСТАВЛЯЮЩИЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

    Сведениями, составляющими персональные данные, в ______________________
                                                         (наименование
                                                       организации БС РФ)
является    любая    информация,   относящаяся    к    определенному    или
определяемому  на  основании  такой  информации  физическому лицу (субъекту
персональных данных), в том числе:
    2.1. Фамилия, имя, отчество (в т.ч. прежние), дата и место рождения.
    2.2.  Паспортные  данные  или  данные  иного документа, удостоверяющего
личность   (серия,  номер,  дата  выдачи,  наименование  органа,  выдавшего
документ) и гражданство.
    2.3.   Характеристики,   идентифицирующие  физиологические  особенности
человека и на основе которых можно установить его личность.
    2.4.  Адрес  места  жительства  (по  паспорту  и  фактический)  и  дата
регистрации по месту жительства или по месту пребывания.
    2.5. Номера телефонов (мобильного и домашнего), в случае их регистрации
на  субъекта  персональных  данных  или  по адресу его места жительства (по
паспорту).
    2.6.  Сведения  об  образовании,  квалификации  и о наличии специальных
знаний  или  специальной  подготовки  (серия,  номер,  дата выдачи диплома,
свидетельства,    аттестата    или    другого    документа   об   окончании
образовательного учреждения, наименование и местоположение образовательного
учреждения,  дата  начала  и  завершения обучения, факультет или отделение,
квалификация  и  специальность  по  окончании  образовательного учреждения,
ученая  степень,  ученое  звание,  владение  иностранными  языками и другие
сведения).
    2.7.  Сведения о повышении квалификации и переподготовке (серия, номер,
дата  выдачи  документа  о  повышении  квалификации  или  о переподготовке,
наименование  и  местоположение  образовательного учреждения, дата начала и
завершения    обучения,   квалификация   и   специальность   по   окончании
образовательного учреждения и другие сведения).
    2.8.  Сведения  о трудовой деятельности (данные о трудовой занятости на
текущее  время  с  полным указанием должности, подразделения, наименования,
адреса  и  телефона  организации,  а  также реквизитов других организаций с
полным  наименованием  занимаемых ранее в них должностей и времени работы в
этих организациях, а также другие сведения).
    2.9. Сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в
нее) и записях в ней.
    2.10.   Содержание   и   реквизиты   трудового  договора  с  работником
Организации или гражданско-правового договора с гражданином.
    2.11.  Сведения  о  заработной  плате  (номера  счетов  для  расчета  с
работниками, данные зарплатных договоров с клиентами, в том числе номера их
спецкартсчетов, данные по окладу, надбавкам, налогам и другие сведения).
    2.12.  Сведения  о воинском учете военнообязанных лиц и лиц, подлежащих
призыву  на военную службу (серия, номер, дата выдачи, наименование органа,
выдавшего  военный  билет,  военно-учетная  специальность, воинское звание,
данные о принятии/снятии на(с) учет(а) и другие сведения).
    2.13.   Сведения  о  семейном  положении  (состояние  в  браке,  данные
свидетельства  о  заключении  брака,  фамилия,  имя,  отчество  супруга(и),
паспортные  данные супруга(и), данные брачного контракта, данные справки по
форме  2НДФЛ  супруга(и),  данные  документов  по  долговым обязательствам,
степень  родства,  фамилии,  имена,  отчества и даты рождения других членов
семьи, иждивенцев и другие сведения).
    2.14. Сведения об имуществе (имущественном положении):
    - автотранспорт (государственные номера и другие данные из свидетельств
о регистрации транспортных средств и из паспортов транспортных средств);
    -   недвижимое   имущество   (вид,   тип,   способ   получения,   общие
характеристики, стоимость, полные адреса размещения объектов недвижимости и
другие сведения);
    -  банковские  вклады (данные договоров с клиентами, в том числе номера
их  счетов,  спецкартсчетов,  вид, срок размещения, сумма, условия вклада и
другие сведения);
    -  кредиты  (займы),  банковские  счета  (в  том  числе спецкартсчета),
денежные средства и ценные бумаги, в том числе в доверительном управлении и
на доверительном хранении (данные договоров с клиентами, в том числе номера
счетов,  спецкартсчетов,  номера  банковских  карт,  кодовая  информация по
банковским  картам,  коды  кредитных историй, адреса приобретаемых объектов
недвижимости,  сумма и валюта кредита или займа, цель кредитования, условия
кредитования,  сведения  о залоге, сведения о приобретаемом объекте, данные
по ценным бумагам, остатки и суммы движения по счетам, тип банковских карт,
лимиты и другие сведения).
    2.15.    Сведения   о   номере   и   серии   страхового   свидетельства
государственного пенсионного страхования.
    2.16. Сведения об идентификационном номере налогоплательщика.
    2.17.  Сведения  из  страховых  полисов  обязательного  (добровольного)
медицинского  страхования  (в  том  числе  данные  соответствующих карточек
медицинского страхования).
    2.18.  Сведения,  указанные  в  оригиналах и копиях приказов по личному
составу Организации и материалах к ним.
    2.19.  Сведения  о государственных и ведомственных наградах, почетных и
специальных  званиях,  поощрениях  (в  том  числе наименование или название
награды,  звания  или поощрения, дата и вид нормативного акта о награждении
или дата поощрения) работников Организации.
    2.20. Материалы по аттестации и оценке работников Организации.
    2.21.  Материалы  по  внутренним  служебным  расследованиям в отношении
работников Организации.
    2.22.  Внутрибанковские  материалы  по расследованию и учету несчастных
случаев  на  производстве  и профессиональным заболеваниям в соответствии с
Трудовым кодексом Российской Федерации, другими федеральными законами.
    2.23. Сведения о временной нетрудоспособности работников Организации.
    2.24. Табельный номер работника Организации.
    2.25.  Сведения  о  социальных  льготах  и о социальном статусе (серия,
номер,  дата  выдачи,  наименование  органа, выдавшего документ, являющийся
основанием для предоставления льгот и статуса, и другие сведения).

                   3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    3.1. Целью обработки указанных выше персональных данных является:
    - осуществление возложенных на Организацию законодательством Российской
Федерации функций в соответствии с Налоговым кодексом Российской Федерации,
федеральными  законами,  в частности: "О банках и банковской деятельности",
"О кредитных историях", "О противодействии легализации (отмыванию) доходов,
полученных  преступным  путем,  и  финансированию  терроризма", "О валютном
регулировании   и   валютном   контроле",   "О   рынке  ценных  бумаг",  "О
несостоятельности  (банкротстве)  кредитных  организаций",  "О  страховании
вкладов  физических  лиц в банках Российской Федерации", "Об индивидуальном
(персонифицированном)    учете    в   системе   обязательного   пенсионного
страхования",  "О персональных данных", нормативными актами Банка России, а
также Уставом и нормативными актами Организации;
    -  организация  учета  служащих  кредитной  организации для обеспечения
соблюдения законов и иных нормативно-правовых актов, содействия служащему в
трудоустройстве,  обучении,  продвижении  по службе, пользования различного
вида  льготами  в  соответствии  с  Трудовым кодексом Российской Федерации,
Налоговым   кодексом   Российской   Федерации,   федеральными  законами,  в
частности:   "Об   индивидуальном  (персонифицированном)  учете  в  системе
обязательного  пенсионного  страхования",  "О персональных данных", а также
Уставом и нормативными актами Организации.

                  4. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

    4.1.  Сроки обработки указанных выше персональных данных определяются в
соответствие   со  сроком  действия  договора  с  субъектом  ПДн,  Приказом
Росархива   от  06.10.2000  "Перечень  типовых  управленческих  документов,
образующихся  в  деятельности  организаций,  с  указанием сроков хранения",
сроком  исковой  давности,  а  также  иными требованиями законодательства и
нормативными документами Банка России.

Приложение 4

                                  ПРИКАЗ

                О назначении ответственного за обеспечение
                    безопасности персональных данных в
          _______________________________________________________
                     (наименование организации БС РФ)

                                  С целью
    приведения ____________________________________________________________
                             (наименование организации БС РФ)
в  соответствие с требованиями Федерального закона  от 27  июля  2006  года
N  152-ФЗ  "О  персональных данных" и исполнения законодательных требований
при обработке персональных данных

    ПРИКАЗЫВАЮ:

    1.  Назначить  ответственным  за  обеспечение безопасности персональных
данных
__________________________________________________________________________.
    (наименование подразделения организации БС РФ) или (ФИО, должность)
    2. Контроль за исполнением настоящего Приказа оставляю за собой.

"Руководитель организации":                      _______________ /        /
                                                 "__" _____________ 20__ г.

Приложение 5

                                                                  Утверждаю
                                           "руководитель организации БС РФ"
                                                                        ФИО
                                           ________________________________
                                           "__" ___________________ 20__ г.

                               Список систем
            __________________________________________________,
                     (наименование организации БС РФ)
               в которых обрабатываются персональные данные

┌───┬────────────┬─────────┬───────────┬─────────────┬────────┬───────────┐
│ N │Наименование│  Цель   │Разработчик│Эксплуати-   │Исходные│Примечания │
│п/п│  системы   │создания │   ИСПДн   │рующее ИСПДн │ данные │           │
│   │            │  ИСПДн  │           │подразделение│  "*"   │           │
├───┼────────────┼─────────┼───────────┼─────────────┼────────┼───────────┤
│ 1 │     2      │    3    │     4     │      5      │    6   │     7     │
├───┼────────────┼─────────┼───────────┼─────────────┼────────┼───────────┤
│   │            │         │           │             │        │           │
├───┼────────────┼─────────┼───────────┼─────────────┼────────┼───────────┤
│   │            │         │           │             │        │           │
└───┴────────────┴─────────┴───────────┴─────────────┴────────┴───────────┘

Должностные лица, участвовавшие в составлении списка:

_________________   ______________________   _____________   ______ 20__ г.
   (должность)              (ФИО)              (подпись)

_________________   ______________________   _____________   ______ 20__ г.
   (должность)              (ФИО)              (подпись)

       ...                   ...                  ...             ...

--------------------------------

"*" Содержание столбца определяется решением комиссии по приведению организации БС РФ в соответствие требованиям Федерального закона "О персональных данных".

Приложение 6

                                                                  Утверждаю
                                           "руководитель организации БС РФ"
                                                                        ФИО
                                           ________________________________
                                           "__" ___________________ 20__ г.

                  Акт классификации информационных систем
                            персональных данных
___________________________________________________________________________
                     (наименование организации БС РФ)

СОГЛАСОВАНО                                 СОГЛАСОВАНО
Должность                                   Должность
_____________   ___________________         _____________   _______________
  (подпись)            (ФИО)                  (подпись)          (ФИО)
"__" _____________ 20__ г.                  "__" ______________ 20__ г.

СОГЛАСОВАНО                                 СОГЛАСОВАНО
Должность                                   Должность
_____________   ___________________         _____________   _______________
  (подпись)            (ФИО)                  (подпись)          (ФИО)
"__" _____________ 20__ г.                  "__" ______________ 20__ г.

┌───┬────────┬───────────────┬──────┬──────────────┬─────────┬──────┬─────┐
│ N │Наимено-│ Цель создания │Разра-│Эксплуатирую- │Исходные │Класс │При- │
│п/п│вание   │  ИСПДн (цель  │ботчик│щее ИСПДн     │данные   │ИСПДн │меча-│
│   │ИСПДн   │ обработки ПДн)│ИСПДн │подразделение │ИСПДн "*"│"**"  │ния  │
├───┼────────┼───────────────┼──────┼──────────────┼─────────┼──────┼─────┤
│ 1 │   2    │ 3             │   4  │       5      │    6    │  7   │  8  │
├───┼────────┼───────────────┼──────┼──────────────┼─────────┼──────┼─────┤
│   │        │               │      │              │         │      │     │
├───┼────────┼───────────────┼──────┼──────────────┼─────────┼──────┼─────┤
│   │        │               │      │              │         │      │     │
└───┴────────┴───────────────┴──────┴──────────────┴─────────┴──────┴─────┘

Должностные лица, составившие Акт классификации ИСПДн

_________________   ______________________   _____________   ______ 20__ г.
   (должность)              (ФИО)              (подпись)

_________________   ______________________   _____________   ______ 20__ г.
   (должность)              (ФИО)              (подпись)

       ...                   ...                  ...             ...

--------------------------------

"*" Содержание столбца определяется решением комиссии по приведению организации БС РФ в соответствие требованиям Федерального закона "О персональных данных". Могут содержаться следующие данные:

- Перечень персональных данных, которые обрабатываются в ИСПДн.

- Категория обрабатываемых персональных данных - в том случае, если в организации БС РФ проводится классификация персональных данных, в соответствии с пунктом 7.10.3 стандарта Банка России СТО БР ИББС-1.0-2010.

- Объем обрабатываемых персональных данных - количество субъектов персональных данных, персональные данные которых обрабатываются в ИСПДн.

- Виды обработки персональных данных - заполняется в соответствии с частью 3 статьи 3 Федерального закона "О персональных данных".

- Характеристики безопасности - Конфиденциальность, целостность, доступность и другие свойства безопасности персональных данных.

- Структура ИСПДн, Наличие подключения ИСПДн к сетям связи общего пользования и сетям международного информационного обмена, Режим обработки персональных данных, Режим разграничения прав доступа пользователей к ИСПДн, Местонахождение технических средств ИСПДн -заполняется в соответствии с пунктами 9 - 13 Порядка проведения классификации информационных систем персональных данных, утвержденного Приказом ФСТЭК, ФСБ и Минсвязи от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".

"**" В соответствии с определенными критериями классификации (пункт 7.11.3 стандарта Банка России СТО БР ИББС-1.0-2010).

Приложение 7

                                                                  Утверждаю
                                                 "руководитель структурного
                                              подразделения или должностное
                                                        лицо, ответственное
                                                за обеспечение безопасности
                                                       персональных данных"
                                                                        ФИО
                                         __________________________________
                                         "__" _____________________ 2009 г.

                                ЗАКЛЮЧЕНИЕ
     о возможности эксплуатации средств(а)/системы защиты информации
___________________________________________________________________________
           (наименование средств(а)/системы защиты информации)
               в информационной системе персональных данных
___________________________________________________________________________
                           (наименование ИСПДн)

В соответствии с __________________________________________________________
                           (приказ, положение о защите ПДн и др.)
комиссией в составе:

┌─────────────────────┬────────────────────────┬──────────────────────────┐
│                     │           ФИО          │         Должность        │
├─────────────────────┼────────────────────────┼──────────────────────────┤
│Председатель         │                        │                          │
├─────────────────────┼────────────────────────┼──────────────────────────┤
│Члены комиссии       │                        │                          │
│                     ├────────────────────────┼──────────────────────────┤
│                     │                        │                          │
└─────────────────────┴────────────────────────┴──────────────────────────┘

проведена установка и адаптация средств(а)/системы защиты информации ______
___________________________________________________________________________
           (наименование средств(а)/системы защиты информации)
на _______________________________________________________________________,
               (автоматизированные рабочие места, сервера и др.)
входящие в состав информационной системы персональных данных ______________
__________________________________________________________________________.
                           (наименование ИСПДн)
    1. Системное и прикладное программное обеспечение.
    2.  Информация  о  настройках  средств(а)/системы  защиты информации от
несанкционированного доступа.
    3.  Выполнение  требований  по  сертификации  средств(а)/системы защиты
информации.
    4. Вывод о возможности эксплуатации:
Средство(а)/система защиты информации ___________________________ готово(а)
к эксплуатации в ИСПДн ___________________________________________________.

Председатель комиссии:                        ________________ /          /

Члены комиссии:                               ________________ /          /
                                              ________________ /          /

Приложение 8

                 Журнал учета носителей персональных данных

Журнал начат "__" __________ 200_ г.   Журнал завершен "__" _______ 200_ г.
                           Должность                              Должность
____________ /ФИО должностного лица/   ____________ /ФИО должностного лица/

                             На _________ листах

┌───┬─────────┬─────┬────────┬────────┬──────────┬────────┬────────┬───────────┐
│ N │Регистра-│ Дата│  Тип/  │Серийный│Отметка о │Отметка │Местопо-│Сведения об│
│п/п│ционный  │учета│емкость │ номер  │постановке│о снятии│ложение │уничтожении│
│   │номер    │     │носителя│        │ на учет  │с учета │носителя│ носителя/ │
│   │         │     │        │        │  (ФИО,   │ (ФИО,  │        │  стирании │
│   │         │     │        │        │ подпись, │подпись,│        │ информации│
│   │         │     │        │        │  дата)   │ дата)  │        │           │
├───┼─────────┼─────┼────────┼────────┼──────────┼────────┼────────┼───────────┤
│ 1 │    2    │  3  │   4    │   5    │    6     │   7    │   8    │     9     │
├───┼─────────┼─────┼────────┼────────┼──────────┼────────┼────────┼───────────┤
│   │         │     │        │        │          │        │        │           │
├───┼─────────┼─────┼────────┼────────┼──────────┼────────┼────────┼───────────┤
│   │         │     │        │        │          │        │        │           │
├───┼─────────┼─────┼────────┼────────┼──────────┼────────┼────────┼───────────┤
│   │         │     │        │        │          │        │        │           │
└───┴─────────┴─────┴────────┴────────┴──────────┴────────┴────────┴───────────┘

Приложение 9

                       Журнал учета разовых пропусков

Журнал начат "__" __________ 200_ г.   Журнал завершен "__" _______ 200_ г.
                           Должность                              Должность
____________ /ФИО должностного лица/   ____________ /ФИО должностного лица/

                             На _________ листах

┌────────┬────────┬──────┬─────────────┬────────────┬────────┬─────────────┬─────┬──────┬────────┬─────────┐
│ Номер  │ Номер  │ФИО   │Наименование │    ФИО     │ Время  │     Вид     │Место│Факти-│Отметка │ Подпись │
│пропуска│ заявки │посе- │принимающего │должностного│ начала │ документа, с│посе-│ческое│   о    │дежурного│
│        │   на   │тителя│структурного │   лица,    │действия│   которым   │щения│время │возврате│  бюро   │
│        │ выдачу │      │подразделения│подписавшего│пропуска│   пропуск   │     │выхода│пропуска│пропусков│
│        │пропуска│      │             │  пропуск   │        │ действителен│     │      │        │         │
├────────┼────────┼──────┼─────────────┼────────────┼────────┼─────────────┼─────┼──────┼────────┼─────────┤
│   1    │   2    │  3   │      4      │     5      │   6    │      7      │  8  │  9   │   10   │   11    │
├────────┼────────┼──────┼─────────────┼────────────┼────────┼─────────────┼─────┼──────┼────────┼─────────┤
│        │        │      │             │            │        │             │     │      │        │         │
├────────┼────────┼──────┼─────────────┼────────────┼────────┼─────────────┼─────┼──────┼────────┼─────────┤
│        │        │      │             │            │        │             │     │      │        │         │
├────────┼────────┼──────┼─────────────┼────────────┼────────┼─────────────┼─────┼──────┼────────┼─────────┤
│        │        │      │             │            │        │             │     │      │        │         │
└────────┴────────┴──────┴─────────────┴────────────┴────────┴─────────────┴─────┴──────┴────────┴─────────┘

Приложение 10

                  Согласие на обработку персональных данных

    Я, ____________________________________________________________________
                                      (ФИО)
    ______________________________________________________________________,
        данные паспорта (или иного документа, удостоверяющего личность)
    не возражаю против обработки __________________________________________
                                      (наименование организации БС РФ)
    (адрес ______________________________________________________________),
включая
___________________________________________________________________________
__________________________________________________________________________,
перечисление видов обработки (сбор, систематизация, накопление, хранение,
    уточнение (обновление, изменение), использование, распространение
    (в том числе передачу), обезличивание, блокирование, уничтожение)
    следующих моих персональных данных:
    ______________________________________________________________________,
                        (перечень персональных данных)
    обрабатываемых с целью
    ______________________________________________________________________,
                     (цель обработки персональных данных)
    в течение
    ______________________________________________________________________.
                       (указать срок действия согласия)
    Настоящее согласие может быть отозвано мной в письменной форме.
    Настоящее согласие действует до даты его отзыва мною путем  направления
в _________________________________________________________________________
                       (наименование организации БС РФ)
письменного сообщения об указанном отзыве в произвольной  форме, если  иное
не установлено законодательством Российской Федерации.

     "__" _____________________ 20__ г. _____________________________
                                           (подпись)         (ФИО)

Приложение 11

                                   Журнал
           учета обращений граждан (субъектов персональных данных)
                  по вопросам обработки персональных данных

              ________________________________________________
                      (наименование организации БС РФ)

Журнал начат "__" __________ 200_ г.   Журнал завершен "__" _______ 200_ г.
                           Должность                              Должность
____________ /ФИО должностного лица/   ____________ /ФИО должностного лица/

                             На _________ листах

┌───┬─────────────┬──────────┬───────┬──────────────┬──────────────┬───────────────┬──────────┐
│ N │  Сведения о │ Краткое  │ Цель  │   Отметка о  │Дата передачи/│    Подпись    │Примечание│
│п/п│запрашивающем│содержание│запроса│предоставлении│   отказа в   │ ответственного│          │
│   │     лице    │обращения │       │информации или│предоставлении│      лица     │          │
│   │             │          │       │  отказе в ее │  информации  │               │          │
│   │             │          │       │предоставлении│              │               │          │
├───┼─────────────┼──────────┼───────┼──────────────┼──────────────┼───────────────┼──────────┤
│ 1 │      2      │    3     │   4   │       5      │      6       │       7       │    8     │
├───┼─────────────┼──────────┼───────┼──────────────┼──────────────┼───────────────┼──────────┤
│   │             │          │       │              │              │               │          │
├───┼─────────────┼──────────┼───────┼──────────────┼──────────────┼───────────────┼──────────┤
│   │             │          │       │              │              │               │          │
├───┼─────────────┼──────────┼───────┼──────────────┼──────────────┼───────────────┼──────────┤
│   │             │          │       │              │              │               │          │
└───┴─────────────┴──────────┴───────┴──────────────┴──────────────┴───────────────┴──────────┘

Приложение 12

                                                        Разрешаю уничтожить
                                                 "руководитель структурного
                                              подразделения или должностное
                                                        лицо, ответственное
                                                за обеспечение безопасности
                                                       персональных данных"
                                                                        ФИО
                                                   ________________________
                                                   "__" ___________ 2009 г.

                   Акт об уничтожении персональных данных

Комиссия в составе:

┌─────────────────────┬────────────────────────┬──────────────────────────┐
│                     │           ФИО          │         Должность        │
├─────────────────────┼────────────────────────┼──────────────────────────┤
│Председатель         │                        │                          │
├─────────────────────┼────────────────────────┼──────────────────────────┤
│Члены комиссии       │                        │                          │
│                     ├────────────────────────┼──────────────────────────┤
│                     │                        │                          │
└─────────────────────┴────────────────────────┴──────────────────────────┘

провела  отбор  носителей  персональных  данных   и   установила,   что   в
соответствии  с  требованиями  руководящих  документов по защите информации
______________  информация,  записанная  на  них  в  процессе эксплуатации,
подлежит уничтожению:

┌─────┬──────────┬─────────────────┬───────────────────────┬──────────────┐
│N п/п│   Дата   │  Тип носителя   │ Регистрационный номер │  Примечание  │
│     │          │                 │     носителя ПДн      │              │
├─────┼──────────┼─────────────────┼───────────────────────┼──────────────┤
│     │          │                 │                       │              │
├─────┼──────────┼─────────────────┼───────────────────────┼──────────────┤
│     │          │                 │                       │              │
└─────┴──────────┴─────────────────┴───────────────────────┴──────────────┘

Всего подлежит уничтожению                                        носителей
                                    (цифрами и прописью)
После утверждения акта перечисленные носители сверены  с  записями  в  акте
и   на   указанных   носителях   персональные   данные   уничтожены   путем
__________________________________________________________________________.
  (стирания на устройстве гарантированного уничтожения информации и т.п.)

После утверждения  акта  перечисленные носители сверены с записями в акте и
уничтожены путем
__________________________________________________________________________.
    (разрезания, сжигания, механического уничтожения, сдачи предприятию
                  по утилизации вторичного сырья и т.п.)
Уничтоженные носители с книг и журналов учета списаны.

Председатель комиссии:                       _______________ /            /

Члены комиссии:                              _______________ /            /
                                             _______________ /            /

Примечание:

1. Акт составляется раздельно на каждый способ уничтожения носителей.

2. Все листы акта, а также все произведенные исправления и дополнения в акте заверяются подписями всех членов комиссии.

Приложение 13

                          Подтверждение соответствия
                       "Наименование организации БС РФ"
                               юридический адрес
                  стандарту Банка России СТО БР ИББС-1.0-2010

    Настоящее    Подтверждение    соответствия    является   документальным
удостоверением  того,  что  в  результате  проведения  оценки  соответствия
"Наименование  организации  БС РФ" положениям стандарта Банка России СТО БР
ИББС-1.0-2010    "Обеспечение   информационной   безопасности   организаций
банковской  системы  Российской Федерации. Общие положения" (далее - СТО БР
ИББС-1.0)
    с   использованием   стандартов   Банка  России  СТО  БР  ИББС-1.2-2010
"Обеспечение  информационной  безопасности  организаций  банковской системы
Российской   Федерации.   Методика   оценки   соответствия   информационной
безопасности  организации  БС  РФ  требованиям  СТО  БР  ИББС-1.0" и СТО БР
ИББС-1.1-2007    "Обеспечение   информационной   безопасности   организаций
банковской системы Российской Федерации. Аудит информационной безопасности"
    были получены следующие результаты:
    1.    Оценка   степени   выполнения   требований   СТО   БР   ИББС-1.0,
регламентирующих  обработку  персональных  данных  (регулятор - Федеральная
служба  по  надзору  в  сфере  связи,  информационных технологий и массовых
коммуникаций, Роскомнадзор):
                  ______________________________________;
    2.    Оценка   степени   выполнения   требований   СТО   БР   ИББС-1.0,
регламентирующих  защиту  персональных  данных  в  информационных  системах
персональных  данных, без учета оценки степени выполнения требований СТО БР
ИББС-1.0  по  обеспечению  информационной  безопасности  при  использовании
средств криптографической защиты информации (регулятор - Федеральная служба
по техническому и экспортному контролю, ФСТЭК России):
                  ______________________________________;
    3.    Оценка   степени   выполнения   требований   СТО   БР   ИББС-1.0,
регламентирующих  защиту  персональных  данных  в  информационных  системах
персональных  данных  при  использовании  средств  криптографической защиты
информации   (регулятор   -   Федеральная  служба  безопасности  Российской
Федерации, ФСБ России):
                  ______________________________________;
    4.    Итоговый   уровень   соответствия   информационной   безопасности
организации БС РФ требованиям СТО БР ИББС-1.0 (регулятор - Центральный банк
Российской Федерации):
                  ______________________________________.
    Оценка  соответствия была проведена в форме внешней оценки соответствия
"Наименование  организации  БС РФ" положениям СТО БР ИББС-1.0 "Наименование
проверяющей организации" по состоянию на "__.__.20__".
    Оценка  соответствия  была  проведена  в  форме самооценки соответствия
"Наименование организации БС РФ" положениям СТО БР ИББС-1.0 по состоянию на
"__.__.20__".

"Руководитель организации":                 ________________ /            /

                                                "__" ______________ 20__ г.

Приложение 14

                                   Журнал
              учета средств криптографической защиты информации

Журнал начат "__" _______ 200_ г.       Журнал завершен "__" ______ 200_ г.
                        Должность                                 Должность
_________ /ФИО должностного лица/       ___________ /ФИО должностного лица/

                                На ___ листах

┌────┬───────┬─────────┬───────────────────┬───────────────────────────────────────┬────────────────────────────────────────┬──────┐
│ N  │Наиме- │Регистра-│Отметка о получении│Отметка о подключении (установке) СКЗИ │        Отметка об изъятии СКЗИ         │Приме-│
│п.п.│нование│ционный  │                   │                                       │      из аппаратных средств ИСПДН       │чание │
│    │СКЗИ   │номер    ├─────────┬─────────┼──────────────┬───────────┬────────────┼─────────────┬──────────────┬───────────┤      │
│    │       │СКЗИ     │ от кого │дата     │    Ф.И.О.    │   дата    │   номера   │дата изъятия │    Ф.И.О.    │   номер   │      │
│    │       │         │получены │и номер  │ пользователя │подключения│ аппаратных │(уничтожения)│ пользователя │ акта или  │      │
│    │       │         │         │сопрово- │    СКЗИ,     │(установки)│ средств, в │             │    СКЗИ,     │расписка об│      │
│    │       │         │         │дитель-  │производившего│ и подписи │  которые   │             │производившего│уничтожении│      │
│    │       │         │         │ного     │ подключение  │   лиц,    │установлены │             │   изъятие    │           │      │
│    │       │         │         │письма   │ (установку)  │произведших│   или к    │             │(уничтожение) │           │      │
│    │       │         │         │         │              │подключение│  которым   │             │              │           │      │
│    │       │         │         │         │              │(установку)│ подключены │             │              │           │      │
│    │       │         │         │         │              │           │    СКЗИ    │             │              │           │      │
├────┼───────┼─────────┼─────────┼─────────┼──────────────┼───────────┼────────────┼─────────────┼──────────────┼───────────┼──────┤
│ 1  │   2   │    3    │    4    │    5    │      6       │     7     │     8      │      9      │      10      │    11     │  12  │
├────┼───────┼─────────┼─────────┼─────────┼──────────────┼───────────┼────────────┼─────────────┼──────────────┼───────────┼──────┤
│    │       │         │         │         │              │           │            │             │              │           │      │
├────┼───────┼─────────┼─────────┼─────────┼──────────────┼───────────┼────────────┼─────────────┼──────────────┼───────────┼──────┤
│    │       │         │         │         │              │           │            │             │              │           │      │
└────┴───────┴─────────┴─────────┴─────────┴──────────────┴───────────┴────────────┴─────────────┴──────────────┴───────────┴──────┘

Приложение 15

                                  ПРИКАЗ

                О назначении работников, допущенных к работе
           с ключами средств криптографической защиты информации

С  целью  исполнения  законодательных   требований,   а   также  требований
внутренних документов _____________________________________________________
                               (наименование организации БС РФ)
при обработке персональных данных

ПРИКАЗЫВАЮ:

1. Утвердить список работников ___________________________________________,
                                (наименование структурного подразделения
                                   организации БС РФ) или (наименование
                                            организации БС РФ)
допущенных к работе с ключами средств криптографической защиты информации.
2. Контроль за исполнением настоящего Приказа оставляю за собой.

"Руководитель комиссии":                   ______________ /               /

                                                    "__" __________ 20__ г.

Приложение

к Приказу от "__" _____ 20__ г. N ___

                            Список работников,
          допущенных к работе с ключами средств криптографической
                            защиты информации

┌───┬─────────────────┬────────────────────┬───────────┬──────────────────┐
│ N │Наименование СКЗИ│ Название должности │    ФИО    │Наименование ИСПДн│
│п/п│                 │                    │           │                  │
├───┼─────────────────┼────────────────────┼───────────┼──────────────────┤
│   │                 │                    │           │                  │
├───┼─────────────────┼────────────────────┼───────────┼──────────────────┤
│   │                 │                    │           │                  │
└───┴─────────────────┴────────────────────┴───────────┴──────────────────┘

Руководитель структурного подразделения
или должностное лицо, ответственное
за обеспечение безопасности
персональных данных                      ________________ /               /

                                                 от "__" __________ 20__ г.

Приложение 16

                   Журнал учета криптографических ключей

Журнал начат "__" _______ 200_ г.       Журнал завершен "__" ______ 200_ г.
                        Должность                                 Должность
_________ /ФИО должностного лица/       ___________ /ФИО должностного лица/

                               На ___ листах

┌────┬───────────┬───────────┬───────┬────────────────────┬────────────────┬──────────────────────────────────────────┐
│ N  │Номера     │Номера     │Наиме- │Отметка о получении │Отметка о выдаче│Отметка об уничтожении ключевых документов│
│п.п.│экземпляров│серий      │нование├────────┬───────────┼──────────┬─────┼───────────┬──────────────┬───────────────┤
│    │(криптогра-│крипто-    │СКЗИ   │от кого │дата       │Ф.И.О.    │дата │   дата    │    Ф.И.О.    │  номер акта   │
│    │фические   │графических│       │получены│и номер    │пользо-   │     │уничтожения│ пользователя │ или расписка  │
│    │номера)    │ключей     │       │        │сопрово-   │вателя    │     │           │    СКЗИ,     │об уничтожении │
│    │ключевых   │           │       │        │дительного │          │     │           │производившего│               │
│    │документов │           │       │        │письма     │          │     │           │ уничтожение  │               │
├────┼───────────┼───────────┼───────┼────────┼───────────┼──────────┼─────┼───────────┼──────────────┼───────────────┤
│ 1  │     2     │     3     │   4   │   5    │     6     │    7     │  8  │    12     │      13      │      14       │
├────┼───────────┼───────────┼───────┼────────┼───────────┼──────────┼─────┼───────────┼──────────────┼───────────────┤
│    │           │           │       │        │           │          │     │           │              │               │
├────┼───────────┼───────────┼───────┼────────┼───────────┼──────────┼─────┼───────────┼──────────────┼───────────────┤
│    │           │           │       │        │           │          │     │           │              │               │
└────┴───────────┴───────────┴───────┴────────┴───────────┴──────────┴─────┴───────────┴──────────────┴───────────────┘

Приложение 17

                                                                  Утверждаю
                                                 "руководитель структурного
                                              подразделения или должностное
                                                        лицо, ответственное
                                                за обеспечение безопасности
                                                       персональных данных"
                                                                        ФИО
                                                      _____________________
                                                      "__" ________ 2009 г.

                                    Акт
            о комиссионном уничтожении криптографических ключей

Комиссия в составе:

┌─────────────────────┬─────────────────────────┬─────────────────────────┐
│                     │ФИО                      │Должность                │
├─────────────────────┼─────────────────────────┼─────────────────────────┤
│Председатель         │                         │                         │
├─────────────────────┼─────────────────────────┼─────────────────────────┤
│Члены комиссии       │                         │                         │
│                     ├─────────────────────────┼─────────────────────────┤
│                     │                         │                         │
└─────────────────────┴─────────────────────────┴─────────────────────────┘

провела уничтожение криптографических ключей:

┌─────┬───────┬───────────┬───────────────────┬───────────────┬───────────┐
│  N  │ Дата  │    Тип    │  Регистрационный  │ Наименование  │Примечание │
│ п/п │       │ носителя  │  номер носителя   │     СКЗИ      │           │
│     │       │   ключа   │       ключа       │               │           │
├─────┼───────┼───────────┼───────────────────┼───────────────┼───────────┤
│     │       │           │                   │               │           │
├─────┼───────┼───────────┼───────────────────┼───────────────┼───────────┤
│     │       │           │                   │               │           │
└─────┴───────┴───────────┴───────────────────┴───────────────┴───────────┘

Всего носителей криптографических ключей _____________________________
                                             (цифрами и прописью)

На указанных носителях криптографические ключи уничтожены путем ___________
__________________________________________________________________________.
  (стирания на устройстве гарантированного уничтожения информации и т.п.)

Перечисленные носители криптографических ключей уничтожены путем __________
__________________________________________________________________________.
    (разрезания, сжигания, механического уничтожения, сдачи предприятию
                  по утилизации вторичного сырья и т.п.)

Председатель комиссии:                  _______________ /                 /

Члены комиссии:                         _______________ /                 /
                                        _______________ /                 /

Приложение 17

ТИПОВЫЕ ОШИБКИ ПРИ РЕАЛИЗАЦИИ ТРЕБОВАНИЙ

ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ

В таблице приведены типовые и распространенные ошибки кредитных организаций, допускаемые при реализации законодательства о персональных данных, которые выявляются Роскомнадзором, ФСТЭК России и ФСБ России в процессе исполнения ими функций государственного контроля и надзора.

Таблица 3

┌───┬───────────────────────────────────────────────────┬─────────────────┐
│ N │                  Типовая ошибка                   │Сфера компетенции│
│п/п│                                                   │   регулятора    │
├───┼───────────────────────────────────────────────────┼─────────────────┤
│ 1.│Отсутствует согласие субъекта ПДн на обработку  его│  Роскомнадзор   │
│   │ПДн                                                │                 │
├───┼───────────────────────────────────────────────────┤                 │
│ 2.│Не уничтожены ПДн после обращения субъекта         │                 │
├───┼───────────────────────────────────────────────────┤                 │
│ 3.│Не послано уведомление субъекту об уничтожении  его│                 │
│   │ПДн                                                │                 │
├───┼───────────────────────────────────────────────────┤                 │
│ 4.│Предоставление  ПДн  третьим  лицам  без   согласия│                 │
│   │субъекта ПДн                                       │                 │
├───┼───────────────────────────────────────────────────┤                 │
│ 5.│Несоответствие реальной обработки  ПДн  заявленным │                 │
│   │целям обработки                                    │                 │
├───┼───────────────────────────────────────────────────┤                 │
│ 6.│Прямой  маркетинг  без  получения  предварительного│                 │
│   │согласия субъекта ПДн                              │                 │
├───┼───────────────────────────────────────────────────┤                 │
│ 7.│Обработка ПДн без уведомление Роскомнадзора        │                 │
├───┼───────────────────────────────────────────────────┤                 │
│ 8.│Отсутствие в договоре  с  третьими  лицами  условия│                 │
│   │обеспечения конфиденциальности                     │                 │
├───┼───────────────────────────────────────────────────┼─────────────────┤
│ 9.│Отсутствие   требований   по   технической   защите│  ФСТЭК России   │
│   │персональных данных в ТЗ и проектной документации  │                 │
├───┼───────────────────────────────────────────────────┤                 │
│10.│Незавершенность   классификации   ИСПДн   или    ее│                 │
│   │ошибочность                                        │                 │
├───┼───────────────────────────────────────────────────┤                 │
│11.│Невыполнение работ по анализу угроз  информационной│                 │
│   │безопасности                                       │                 │
├───┼───────────────────────────────────────────────────┤                 │
│12.│Незавершенность  разработки  необходимого комплекта│                 │
│   │организационно-распорядительной документации       │                 │
├───┼───────────────────────────────────────────────────┤                 │
│13.│Отсутствие  необходимых  мер  и   сервисов   защиты│                 │
│   │информации                                         │                 │
├───┼───────────────────────────────────────────────────┤                 │
│14.│Непринятие мер по учету машинных носителей         │                 │
├───┼───────────────────────────────────────────────────┤                 │
│15.│Отсутствие в должностных регламентах  ответственных│                 │
│   │лиц за защиту персональных данных и  их  полномочий│                 │
│   │по контролю за выполнением требований по защите    │                 │
├───┼───────────────────────────────────────────────────┤                 │
│16.│Отсутствие         достаточного          количества│                 │
│   │квалифицированных специалистов                     │                 │
├───┼───────────────────────────────────────────────────┼─────────────────┤
│17.│Использование средств криптозащиты, отличающихся от│   ФСБ России    │
│   │эталонных сертифицированных версий                 │                 │
├───┼───────────────────────────────────────────────────┤                 │
│18.│Невыполнение  отдельных   требований   по   порядку│                 │
│   │эксплуатации     криптосредств,     предусмотренных│                 │
│   │технической документацией                          │                 │
├───┼───────────────────────────────────────────────────┤                 │
│19.│Несовершенство отдельных подготовленных  оператором│                 │
│   │документов,  регламентирующих  вопросы  обеспечения│                 │
│   │безопасности в конкретной организации              │                 │
└───┴───────────────────────────────────────────────────┴─────────────────┘

Задайте вопрос юристу:
+7 (499) 703-46-71 - для жителей Москвы и Московской области
+7 (812) 309-95-68 - для жителей Санкт-Петербурга и Ленинградской области