Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации (на основе комплекса документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации") (разработаны Банком России, Ассоциацией российских банков, Ассоциацией региональных банков России (Ассоциацией "Россия"))

Методические рекомендации
по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации (на основе комплекса документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации")
(разработаны Банком России, Ассоциацией российских банков, Ассоциацией региональных банков России (Ассоциацией "Россия"))

I. Введение

В Банк России, Ассоциацию российских банков и Ассоциацию региональных банков России (Ассоциацию "Россия") поступают многочисленные обращения организаций банковской системы Российской Федерации (БС РФ) по вопросу применения положений Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"). Банками отмечается, что выполнение норм Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных является крайне важной задачей и способствует защите интересов граждан.

С целью выполнения в организациях банковской системы Российской Федерации (далее - БС РФ) требований Федерального закона "О персональных данных" и требований (рекомендаций) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор), Федеральной службы безопасности Российской Федерации (далее - ФСБ России) и Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) Центральный банк Российской Федерации при участии Роскомнадзора, ФСБ России, ФСТЭК России (далее - Регуляторы, если по смыслу не требуется детализация), Ассоциации российских банков (далее - АРБ) и Ассоциации региональных банков России (Ассоциации "Россия") разработал отраслевые документы по приведению организаций БС РФ в соответствие с требованиями законодательства в области персональных данных. Эти документы включают:

1. Четыре документа, входящие в комплекс документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (далее - Комплекс БР ИББС):

- Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.4) (далее - Отраслевая модель угроз).

- Доработанные в части требований по обработке и обеспечению безопасности персональных данных в соответствии с Отраслевой моделью угроз стандарты Банка России отраслевого применения СТО БР ИББС-1.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - стандарт Банка России СТО БР ИББС-1.0) и СТО БР ИББС-1.2 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0".

- Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации" (далее - рекомендации в области стандартизации Банка России РС БР ИББС-2.3).

2. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ (далее - Методические рекомендации).

Методические рекомендации разработаны Ассоциацией российских банков и Ассоциацией региональных банков России (Ассоциацией "Россия") совместно с Банком России для обеспечения методической поддержки применения организациями БС РФ Комплекса БР ИББС.

Место вышеуказанной документации показано на примерной структурной схеме документационного обеспечения выполнения законодательных требований при обработке персональных данных в организациях БС РФ (Рис. 1).

Рис 1. Примерная структурная схема верхних уровней документационного обеспечения выполнения законодательных требований при обработке персональных данных в организации БС РФ

II. Общие положения

Отраслевая модель угроз разработана на основе "Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных", рекомендованной ФСТЭК России, и содержит перечень угроз безопасности персональным данным, актуальных для организаций БС РФ.

Стандарты Банка России Банка России позволяют обеспечить защиту персональных данных, обрабатываемых как в информационных системах персональных данных (ИСПДн), т.е. в системах, целью создания которых является обработка персональных данных и к защите которых требования и рекомендации по обеспечению безопасности персональных данных предъявляют ФСБ России и ФСТЭК России, так и в иных автоматизированных банковских системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации (режим защиты сведений, составляющих банковскую тайну, коммерческую тайну и др.).

При введении Стандартов Банка России в организации БС РФ приказом требования по получению лицензий на деятельность по технической защите конфиденциальной информации и требования аттестации ИСПДн не являются обязательными (в соответствии с пунктом 9.6 СТО БР ИББС-1.0-2010).

В случае применения организацией БС РФ для обеспечения безопасности персональных данных шифровальных (криптографических) средств защиты информации (далее - СКЗИ), организации БС РФ обязаны получать лицензии ФСБ России в соответствии с законодательством Российской Федерации.

Рекомендации содержат набор практик, способствующих выполнению в организациях БС РФ требований Стандартов Банка России и тем самым - выполнению требований Федерального закона "О персональных данных", а также требований и рекомендаций Регуляторов.

III. Особенности и ограничения

В соответствии с Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании" все стандарты носят рекомендательный характер.

Вместе с тем, в случае введения их в организации БС РФ приказом, стандарты принимают статус документов, обязательных для выполнения в этой организации. В этом случае организация БС РФ добровольно принимает на себя обязательство внедрить Стандарты Банка России, оценить соответствие организации БС РФ его требованиям (с использованием стандарта Банка России СТО БР ИББС-1.2) и официально подтвердить это, направив в адрес Банка России и территориальных органов Регуляторов - Роскомнадзора, ФСТЭК России, ФСБ России (в пределах их полномочий) "Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0".

Если организация БС РФ не вводит Стандарты Банка России приказом, то ее деятельность при обработке персональных данных подлежит оценке при осуществлении надзора и контроля уполномоченными государственными органами на соответствие требованиям нормативных документов Регуляторов в области персональных данных, без учета отраслевых особенностей банковской сферы деятельности, отраженных в Комплексе БР ИББС.

IV. Программа действий по приведению организации БС РФ в соответствие с требованиями Федерального закона "О персональных данных"

1. Принятие решения о присоединении или не присоединении к Стандартам Банка России. Подготовка и выпуск приказа.

2. Создание комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона "О персональных данных". Указанная комиссия будет координировать работы по приведению организации БС РФ в соответствие с требованиями Стандартов Банка России и настоящих рекомендаций и по проведению самооценки.

3. Разработка плана по приведению организации БС РФ в соответствие с требованиями Федерального закона "О персональных данных" (в соответствие с требованиями Стандартов Банка России).

4. Формирование перечня обрабатываемых персональных данных, а также формулирование целей и оснований для обработки этих данных.

5. Определение и выработка условий и принципов обработки персональных данных в организации БС РФ.

6. Составление перечня систем организации БС РФ, в которых обрабатываются персональные данные. Выделение ИСПДн и проведение их классификации.

7. Принятие решения о вводе в действие в организации БС РФ Отраслевой модели угроз. Разработка, в случае необходимости, собственной частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных организации БС РФ.

8. Оценка возможности обезличивания персональных данных. Проведение обезличивания. Проведение, в случае необходимости, повторной классификации ИСПДн.

9. Оценка существующих защитных мер на предмет соответствия требованиям Стандартов Банка России.

10. Решение вопроса о выделении необходимых материальных, кадровых и финансовых ресурсов для реализации мероприятий, предусмотренных планом мероприятий.

11. Реализация плана, включая выпуск необходимых документов. Доработка уже существующих документов с целью их соответствия требованиям Федерального закона "О персональных данных".

12. Проведение контроля в форме:

- Оценки соответствия организации БС РФ положениям стандарта Банка России СТО БР ИББС-1.0-2010 внешней организацией (аудита).

- Самооценки соответствия организации БС РФ положениям стандарта Банка России СТО БР ИББС-1.0-2010.

13. Выпуск документа о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям Регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий).

14. Направление этого документа в адрес Банка России и территориальных органов Регуляторов (по готовности, но не позже 31 декабря 2010 года, в дальнейшем - один раз в три года).

V. Комментарии к программе действий

a. Создание комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона "О персональных данных" (пункт 2 программы действий)

Перед началом работ по приведению организации БС РФ в соответствие с требованиями Федерального закона "О персональных данных" организационно-распорядительным порядком создается комиссия, на которую будет возлагаться реализация приведенных выше этапов. В состав данной комиссии входят представители юридического подразделения, подразделений общей и информационной безопасности, подразделений информатизации (разработки и обеспечения банковских технологий и обработки информации), кадровой службы (отдела кадров), управления делами (делопроизводства), подразделений по работе с клиентами (физическими лицами), а также представители других структурных подразделений, имеющих непосредственное отношение в организации БС РФ к сфере действия Федерального закона "О персональных данных".

Целесообразно, чтобы председатель комиссии был одновременно назначен ответственным за выполнение законодательных требований при обработке персональных данных в организации БС РФ.

Одной из задач комиссии является классификация информационных систем персональных данных.

После выполнения плана по приведению организации БС РФ в соответствие требованиям Федерального закона "О персональных данных" рекомендуется продолжить работу комиссии на постоянной основе.

b. Разработка плана по приведению в соответствие (пункт 3 программы действий)

Все этапы программы действий (кроме первого) могут быть детализированы в поэтапном плане по приведению организации БС РФ в соответствие с требованиями Федерального Закона "О персональных данных".

Данный поэтапный план утверждается с указанием конкретных сроков реализации каждого этапа.

c. Типовой перечень персональных данных (пункт 4 программы действий)

В организации БС РФ рекомендуется сформировать перечень персональных данных с указанием целей и сроков их обработки (в т.ч. и хранения). Это позволит облегчить решение ряда задач, например:

разработка положения о защите персональных данных и иной организационно-распорядительной документации в области обработки персональных данных;

планирование и реализация мероприятий по защите персональных данных;

разработка уведомления в Роскомнадзор;

реагирование на запросы субъектов персональных данных.

При составлении Перечня персональных данных организация БС РФ может воспользоваться примерным перечнем, приведенным в Приложении 3.

При составлении перечня персональных данных, обрабатываемых организацией БС РФ, важно определить цели и сроки такой обработки. Например, если для регистрации паспортных данных посетителей организации БС РФ выбрана цель - "однократный проход посетителей на территорию организации БС РФ", то покидание посетителем организации БС РФ приводит к необходимости уничтожения зафиксированных персональных данных. Этого требует Федеральный закон "О персональных данных", так как по достижению цели обработки персональные данные должны быть уничтожены. Это пример некорректно выбранной цели. Теперь приведем пример некорректно выбранного срока хранения персональных данных. Если во внутренних документах организации БС РФ написано, что "хранение персональных данных персонала организации БС РФ осуществляется в течение срока действия трудового договора", то организация БС РФ может столкнуться с ситуацией, когда персональные данные уволенного работника должны быть удалены, а сделать это невозможно, так как эти данные должны быть использованы при предоставлении отчетности в органы Федеральной налоговой службы, Пенсионный Фонд Российской Федерации, Фонд обязательного медицинского страхования и т.п. С целью упрощения определения целей и сроков обработки персональных данных организация БС РФ может воспользоваться формулировками, приведенными в Перечне персональных данных, обрабатываемых организацией БС РФ (Приложение 3).

Данный этап также позволит выделить персональные данные, которые потребуют особых условий обработки - видео и фотоизображения человека, геометрия руки и дактилоскопия, голосовые данные в центрах обработки вызовов и т.п.

При наличии в организации БС РФ утвержденного Перечня сведений конфиденциального характера допускается включить в него новый пункт - "персональные данные" (вместо разработки и утверждения отдельного Перечня обрабатываемых персональных данных). Это позволит легитимным образом распространить уже существующие режимы конфиденциальности, а также разработанную по этим вопросам нормативно-распорядительную документацию, и на обрабатываемые в организации БС РФ персональные данные.

При обработке персональных данных клиентов организации БС РФ рекомендуется минимизировать обработку персональных данных, отнесенных Федеральным законом "О персональных данных" (статья 10) к специальным категориям персональных данных.

d. Классификация ИСПДн (пункт 6 программы действий)

В связи с тем, что согласно статье 19 Федерального закона "О персональных данных" операторы обязаны защитить персональные данные от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий, то все ИСПДн организации БС РФ относятся к категории специальных в соответствии с пунктом 8 Порядка проведения классификации информационных систем персональных данных, утвержденного приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".

Автоматизированные системы, в которых обрабатываются персональные данные, но целью работы которых не является обработка персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн.

По результатам классификации ИСПДн составляется Акт классификации.

e. Разработка частной модели угроз (пункт 7 программы действий)

В соответствии с пунктом 16 Порядка проведения классификации информационных систем персональных данных, утвержденного приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных" для специальных информационных систем персональных данных должна быть разработана модель угроз безопасности персональных данных.

В качестве модели угроз безопасности персональных данных при их обработке в ИСПДн организация БС РФ может использовать Отраслевую модель угроз, содержащую актуальные угрозы безопасности персональных данных при обработке в ИСПДн организаций БС РФ (применительно к большинству организаций БС РФ) и согласованную с Регуляторами.

В случае необходимости, в организации БС РФ может быть составлена частная модель угроз безопасности персональных данных при их обработке в ИСПДн организации БС РФ (далее - частная модель угроз), учитывающая особенности обработки персональных данных в конкретной организации БС РФ.

В качестве методики выбора актуальных для организации БС РФ угроз и последующего составления частной модели угроз используются рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 "Обеспечение информационной безопасности организаций БС РФ. Методика оценки рисков нарушения информационной безопасности.

f. Оценка возможности обезличивания персональных данных (пункт 8 программы действий)

Персональные данные, обрабатываемые в ИСПДн, можно обезличить с целью понижения уровня требований по обеспечению безопасности. Согласно Федеральному закону "О персональных данных" обезличивание - это действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Полностью обезличить все персональные данные невозможно - в информационных системах всегда будут присутствовать технические средства (например, автоматизированные рабочие места операционистов или принтеры), на которых будет происходить процесс, обратный обезличиванию, - для целей сверки данных, печати на принтере, отправки по электронной почте и т.п.

На основе анализа национальных и международных стандартов* может быть составлен следующий список алгоритмов обезличивания персональных данных (см. Таблица 1).

______________________________

* NIST SP800-122 "Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)", BS10012:2009 "Data protection - Specification for a personal information management system", ISO 25237:2008 "Health informatics - Pseudonymization"

Таблица 1. Алгоритмы обезличивания персональных данных (ПДн)

Алгоритм обезличивания	Описание	Примечание
Абстрагирование ПДн	Сделать ПДн менее точными путем группирования общих или непрерывных характеристик	Например, вместо указания конкретного возраста использовать кодификаторы (18-25 лет - 2, 26-33 года - 3 и т.д.)
Скрытие ПДн	Удалить все или часть записи ПДн, не требуемой для деятельности кредитной организации
Внесение шума в ПДн	Добавить небольшое количество посторонней информации в ПДн
Замена ПДн	Переставить поля одной записи ПДн с теми же самыми полями другой аналогичной записи
Замена данных средним значением	Заменить выбранные данные средним значением для группы ПДн
Разделение ПДн на части	Использование таблиц перекрестных ссылок	Например, вместо одной таблицы использовать две - одна с ФИО и идентификатором субъекта ПДн, вторая - с тем же идентификатором субъекта ПДн и остальной частью ПДн
Использование специальных алгоритмов	Маскирование ПДн или подмена определенных символов другими
Использование алгоритмов криптографического преобразования	Хэширование или шифрование

g. Реализация плана и документирование процесса обработки персональных данных (пункт 11 программы действий)

Обеспечение безопасности персональных данных осуществляется в соответствии с доработанными для использования в целях защиты персональных данных и согласованными с Регуляторами Стандартами Банка России.

Организация работ по обработке и обеспечению безопасности персональных данных сопровождается разработкой различных документов в соответствии с требованиями федерального законодательства, требованиями и рекомендациями Регуляторов. Эти документы разрабатываются в организации БС РФ и предъявляются Регуляторам в случае проведения ими контроля и надзора за соответствием обработки персональных данных законодательным требованиям. Примерный перечень документов приведен в Таблице 2, типовые шаблоны части этих документов приведены в приложениях к данным рекомендациям.

Таблица 2.

Перечень документов

N п/п	Документ	Ссылка*	Примечание
1	Приказ о создании комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона "О персональных данных".	Раздел V пункт a Рекомендаций	Одной из задач комиссии является классификация информационных систем персональных данных. Шаблон документа - в Приложении 1
2	План по приведению организации БС РФ в соответствие требованиям Федерального закона "О персональных данных".	Раздел V пункт b Рекомендаций	В Приложении 2 приведен пример такого плана
3	Перечень персональных данных, обрабатываемых организацией БС РФ в своей деятельности.	Раздел V пункт c Рекомендаций	В Приложении 3 приведен примерный перечень, который может быть скорректирован (сокращен или дополнен) в зависимости от специфики деятельности организации БС РФ
4	Приказ о назначении ответственного за обеспечение безопасности персональных данных (структурного подразделения или должностного лица).	Пункт 13 Постановления Правительства N 781 Приказ ФСТЭК	Шаблон документа - в Приложении 4. Допускается возложение ответственности на существующее в организации БС РФ подразделение (например, на службу безопасности) с внесением изменений в Положение о данном структурном подразделении.
5	Список лиц, доступ которых к персональным данным, обрабатываемым в ИСПДн, необходим для выполнения служебных (трудовых) обязанностей.	Пункт 14 Постановления Правительства N 781	Возможно существование перечня (списка) в электронном виде, при условии предоставления работникам прав доступа в ИСПДн только на основании распорядительного документа в документально зафиксированном в организации БС РФ порядке. В случае необходимости (в частности, перед проведением проверок) может быть распечатан на бумажный носитель в виде базы пользователей, например, Active Directory или определенной ИСПДн.
6	Список систем, в которых обрабатываются персональные данные.	Раздел V пункт d Рекомендаций	Шаблон документа - в Приложении 5
7	Акт классификации информационных систем персональных данных организации БС РФ.	Пункт 18 Приказа Раздел V пункт d Рекомендаций	Шаблон документа - в Приложении 6
8	Заключение о возможности эксплуатации средств защиты информации.	Пункт 12 Постановления Правительства N 781	Шаблон документа - в Приложении 7. Заключение составляется по результатам проверки готовности средств защиты информации к использованию. Допускается издание актов ввода в эксплуатацию АБС, в состав которых входят средства и системы защиты информации.
9	Политика информационной безопасности организации БС РФ, в части разделов, касающихся обеспечения безопасности персональных данных.	Постановление Правительства N 781 Пункт 16 Приказа Регламент ФСБ Документы ФСБ Приказ ФСТЭК	1. Разрабатывается на основе положений стандарта Банка России СТО БР ИББС-1.0-2010 2. Включаются требования: - по обеспечению безопасности персональных данных в организации БС РФ как при обработке персональных данных в ИСПДн, так и вне ИСПДн; - (в случае использования СКЗИ) по обеспечению безопасности персональных данных при помощи СКЗИ; - по хранению носителей персональных данных; - организации допуска и защиты помещений, в которых обрабатываются персональные данные; - и др. 3. Может быть единым документом (политика информационной безопасности организации БС РФ, включающая разделы, касающиеся обеспечения безопасности персональных данных) или комплектом документов (набор частных политик, включающих разные аспекты обеспечения безопасности персональных данных)
10	План проведения контроля (как внутреннего контроля, так и контроля с привлечением внешних независимых проверяющих организаций) обеспечения безопасности персональных данных.	Пункт 12 Постановления Правительства N 781	1. Разрабатывается на основе положений стандарта Банка России СТО БР ИББС-1.0-2010 2. Включает, в частности, контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.
11	Документы, подтверждающие постановку на учет средств защиты информации, применяемых в организации БС РФ для обеспечения безопасности персональных данных.	Пункт 12 Постановления Правительства N 781	Такими документами могут, в частности, являться справки о постановке на балансовый учет
12	Журнал учета носителей персональных данных.	Пункт 12 Постановления Правительства N 781	Шаблон документа - в Приложении 8. Журнал нумеруется, брошюруется, скрепляется печатью и подписывается работником, на которого возложены соответствующие обязанности
13	Эксплуатационная и техническая документация на средства и системы защиты информации.	Пункт 12 Постановления Правительства N 781	Предоставляется разработчиком или поставщиком средств и систем защиты информации Является описанием системы защиты персональных данных
14	Частная модель угроз безопасности персональных данных в организации БС РФ.	Пункт 12 Постановления Правительства N 781 Пункт 16 Приказа Регламент ФСБ Документы ФСБ Приказ ФСТЭК	См Раздел V пункт e Рекомендаций
15	Уведомление об обработке персональных данных.	Статья 22 Закона Пункт 64.1.1 регламента Роскомнадзора	Типовая форма уведомления и рекомендации по ее заполнению на официальном интернет-сайте Роскомнадзора www.rsoc.ru
16	Положение о порядке обработки персональных данных.	Пункты 64.1.5, 64.1.7 регламента Роскомнадзора	1. Разрабатывается на основе положений раздела 7.10 стандарта Банка России СТО БР ИББС-1.0-2010. 2. Содержит в том числе: порядок и условия обработки специальных категорий и биометрических персональных данных, порядок и условия трансграничной передачи персональных данных, порядок обработки персональных данных, осуществляемой без использования средств автоматизации (если такая обработка есть в организации БС РФ).
17	Документ, определяющий процедуру допуска работников организации БС РФ к работе с персональными данными.	Пункт 67.1 регламента Роскомнадзора	Такими документами могут быть, например, утвержденная процедура допуска, распорядительные документы организации БС РФ и т.п.
18	Должностные регламенты/инструкции лиц, имеющих доступ и (или) осуществляющих обработку персональных данных.	Пункт 67.1 регламента Роскомнадзора	Могут быть написаны явно или содержаться в иных документах, устанавливающих права, полномочия и обязанности работников организации БС РФ, имеющих доступ к информации, защищаемой в соответствии с действующим законодательством
19	Типовые формы документов, содержащие персональные данные.	Пункт 67.1 регламента Роскомнадзора	Под типовой формой документа понимается шаблон, бланк документа или другая унифицированная форма документа, разрабатываемая организацией с целью сбора ПДн. Требования к типовым формам установлены Постановлением Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
20	Журналы (реестры, книги), содержащие персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию организации БС РФ, или в иных аналогичных целях.	Пункт 67.1 регламента Роскомнадзора	Требования к ведению установлены Постановлением Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" Шаблон журнала разовых пропусков - в Приложении 9. Журнал может вестись как в бумажном, так и в электронном виде. В случае ведения журнала в электронном виде в конце установленного периода времени журнал распечатать, пронумеровать, сброшюровать, скрепить печатью и подписать работником, на которого возложены соответствующие обязанности
21	Договоры с субъектами персональных данных	Пункт 67.1 регламента Роскомнадзора
22	Типовая форма письменного согласия субъектов персональных данных на обработку их персональных данных.	Пункт 64.1.4 регламента Роскомнадзора	Шаблон документа - в Приложении 10
23	Документы, содержащие письменные согласия субъектов персональных данных на обработку их персональных данных.	Пункт 64.1.4 регламента Роскомнадзора	Письменные согласия получает организация БС РФ в установленных законодательством случаях от клиентов и работников организации БС РФ, от их родственников, и других субъектов, персональные данные которых обрабатывает организация БС РФ
24	Журналы (книги) учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных организацией БС РФ.	Пункт 67.1 регламента Роскомнадзора	Шаблон документа - в Приложении 11 Журналы могут вестись как в бумажном, так и в электронном виде. В случае ведения журнала в электронном виде в конце установленного периода времени журнал распечатать, пронумеровать, сброшюровать, скрепить печатью и подписать работником, на которого возложены соответствующие обязанности
25	Акт об уничтожении персональных данных субъекта(ов) персональных данных (в случае достижения цели обработки).	Пункт 64.1.6 регламента Роскомнадзора	Шаблон документа - в Приложении 12
26	Документы, содержащие свидетельства выполнения организацией предписаний об устранении ранее выявленных нарушений законодательства Российской Федерации в области персональных данных.	Пункт 64.1.3 регламента Роскомнадзора	1. В том случае, если ранее проводились проверки. 2. Примерами таких документов могут быть планы устранения выявленных нарушений и свидетельства выполнения выявленных нарушений
27	Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2010	Разделы III и IV Рекомендаций	Шаблон документа - в Приложении 13
В случае использования организацией БС РФ для обеспечения безопасности персональных данных средств криптографической защиты информации (СКЗИ) помимо определенных выше документов разрабатываются следующие документы:
28	Акты ввода СКЗИ в эксплуатацию. Документы, содержащие описание соответствия размещения и монтажа СКЗИ требованиям документации на СКЗИ.	Регламент ФСБ Документы ФСБ	Допускается не составлять акты ввода СКЗИ в эксплуатацию. При этом составляется заключение о возможности эксплуатации СКЗИ (по результатам проверки готовности СКЗИ к использованию и соответствия размещения, монтажа и настроек СКЗИ требованиям документации на СКЗИ). Шаблон документа - в Приложении 7. Допускается издание актов ввода в эксплуатацию АБС, в состав которых входят СКЗИ.
29	Журнал поэкземплярного учета СКЗИ.	Регламент ФСБ Документы ФСБ	Шаблон документа - в Приложении 14
30	Порядок организации контроля за соблюдением условий использования СКЗИ.	Регламент ФСБ Документы ФСБ	Может быть написан явно или содержаться в Методике внутреннего контроля безопасности организации БС РФ
31	Договора на приобретение СКЗИ организации БС РФ (купли-продажи, обмена).	Регламент ФСБ Документы ФСБ
32	Лицензии и сертификаты на используемые СКЗИ (или разрешения ФСБ на использования СКЗИ).	Регламент ФСБ Документы ФСБ
33	Эксплуатационная документация на СКЗИ.	Регламент ФСБ Документы ФСБ	Предоставляется разработчиком или поставщиком средств и систем защиты информации
34	Приказ о назначении лиц (пользователей СКЗИ), допущенных к работе с ключами СКЗИ.	Регламент ФСБ Документы ФСБ	Шаблон документа - в Приложении 15
35	Документы, подтверждающие функциональные обязанности работников организации БС РФ.	Регламент ФСБ Документы ФСБ	Должностные инструкции и регламенты.
36	Документы, подтверждающие прохождение обучения работников организации БС РФ.	Регламент ФСБ Документы ФСБ	Сертификаты, справки, отчеты и др.
37	Журнал учета криптографических ключей.	Регламент ФСБ Документы ФСБ	Шаблон документа - в Приложении 16
38	Акт о комиссионном уничтожении криптографических ключей.	Регламент ФСБ Документы ФСБ	Шаблон документа - в Приложении 17

______________________________

* В столбце приведены сокращенные названия документов:

1. Рекомендации - Рекомендации по выполнению законодательных требований при обработке персональных данных в организации БС РФ.

2. Закон - Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"

3. Постановление Правительства N 781 - Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных"

4. Приказ - Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"

5. Приказ ФСТЭК - Приказ федеральной службы по техническому и экспортному контролю от 5 февраля 2010 года N 58 "Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных"

6. Документы ФСБ - "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных", "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" (утверждены Руководством 8 Центра ФСБ России 21 февраля 2008 года)

7. Регламент ФСБ - Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утвержден Руководством 8 Центра ФСБ России 08 августа 2009 года N 149/7/2/6-1173)

8. Регламент Роскомнадзора - Административный регламент проведения проверок Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утвержден приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций N 630 от 01.12.2009 года).

ГАРАНТ:

Нумерация приложений приводится в соответствии с источником