Приложение 2. План приведения организации БС РФ в соответствие с требованиями Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных". Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации (на основе комплекса документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации") (разработаны Банком России, Ассоциацией российских банков, Ассоциацией региональных банков России (Ассоциацией "Россия"))

Приложение 2

                                                                                              Утверждаю

                                                                       <руководитель организации БС РФ>

                                                                                                    ФИО

                                                                               ________________________

                                                                               "___" _________ 20___ г.

                                                 План

           приведения ___________________________________________________________________

                                           (наименование организации БС РФ)

в соответствие с требованиями Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных"

N п/п	Наименование мероприятия	Основание (нормативный акт)	Форма реализации	Статус реализации	Срок выполнения	Ответственное лицо	Примечание
1.	Изучить бизнес-процессы организации БС РФ и технологические процессы обработки информации.
2.	Идентифицировать и описать все бизнес-процессы (технологические процессы), в рамках которых обрабатываются ПДн.
3.	Определить какие программные и технические средства используются в технологических процессах, в рамках которых обрабатываются ПДн.
4.	Определить работников организации (должности), участвующих в технологических процессах, в рамках которых обрабатываются ПДн.
5.	Определить состав обрабатываемых в организации ПДн (тип, категория, объем).		Проект перечня ПДн
6.	Определить цели, правовое основание, условия и принципы обработки ПДн.		Проект перечня ПДн
7.	Определить, выполняется ли обработка специальных категорий ПДн. Если да, то на каком основании.		Проект перечня ПДн
8.	Определить к какому типу защищаемой (коммерческая тайна, банковская тайна и др.) информации относятся ПДн.		Проект перечня ПДн
9.	Сопоставить объем собираемых ПДн целям обработки (убрать избыточные данные).		Перечень ПДн
10.	Определить срок хранения ПДн.		Перечень ПДн или отдельный нормативный акт
11.	Определить необходимость получения согласия на обработку ПДн и для тех случаев, когда необходимо, получить такое согласие в письменном виде.		Согласие субъектов на обработку ПДн
12.	Сообщать субъекту ПДн о целях обработки при сборе сведений, составляющих ПДн.		Скорректированные формы договоров с субъектами персональных данных
13.	Определить ПДн, получаемые не непосредственно от субъекта ПДн, и для таких случаев уведомить субъектов.		Типовая форма уведомления субъектов
14.	Определить порядок передачи ПДн сторонним организациям и лицам.
15.	Определить договорные взаимоотношения, в рамках которых выполняется передача ПДн третьей стороне и внести в такие договора требования об обеспечении конфиденциальности передаваемых ПДн.		Изменение форм договоров и заключение дополнительных соглашений к действующим договорам
16.	Определить, выполняется ли трансграничная передача ПДн. Если да, то убедиться что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, или в противном случае имеется обоснование для такой передачи.
17.	Определить порядок реагирования на запросы со стороны субъектов ПДн и предоставления им их ПДн, внесения изменений, прекращения обработки ПДн		Регламент реагирования на обращения субъектов. Журналы (книги) учета обращений субъектов персональных данных. Типовая форма ответа на запросы
18.	Определить порядок уничтожения ПДн после достижения целей обработки		Инструкция по уничтожению ПДн. Акт об уничтожении персональных данных
19.	Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление		Уведомление Роскомнадзора
20.	Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн		Приказ о назначении ответственного
21.	Провести анализ систем организации и составить перечень систем, в которых обрабатываются персональные данные. Выделить ИСПДн.		Список систем, в которых обрабатываются персональные данные
22.	Выявить ИСПДн (в том числе государственные) и их границы (в рамках организации БС РФ), в отношении которых организация не определяет цели обработки и требования по защите (например, передача отчетности в Пенсионный фонд, ФНС, ФОМС и др.)						Обеспечение безопасности ПДн в таких системах следует осуществлять в соответствии с предъявляемым и их организатором (владельцем) требованиями
23.	Разработать модель угроз ПДн		Приказ о вводе в действие в организации БС РФ Отраслевой модели угроз или Частная модель угроз безопасности ПДн организации БС РФ
24.	Провести классификацию ИСПДн		Акты классификации ИСПДн
25.	Оценить необходимость и возможности обезличивания ПДн. Провести обезличивание ПДн. При необходимости провести повторную классификацию ИСПДн
26.	Определить требования и меры по обеспечению безопасности ПДн		Политика информационной безопасности или отдельный документ
27.	Разработать требования по обеспечению безопасности ПДн при обработке в ИСПДн		Политика информационной безопасности или отдельный документ, содержащий требования по обеспечению безопасности ПДн
28.	Разработать должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн		Должностные инструкции персонала и журнал инструктажа
29.	Определить порядок действий должностных лиц в случае возникновения нештатных ситуаций		Журнал учета нештатных ситуаций
30.	Определить порядок проведения контроля обеспечения безопасности ПДн		Политика информационной безопасности или отдельный документ
31.	Анализ существующих защитных мер на предмет соответствия требованиям Стандартов Банка России и требованиям, определенным на этапах 19, 20
32.	Выявление невыполненных в организации требований Стандартов Банка России и требований, определенных на этапах 19, 20, принятие решений о создании системы защиты персональных данных, доработке ИСПДн, доработке документов организации БС РФ и др.
33.	Организовать разработку системы обеспечения безопасности персональных данных на основе положений ГОСТ 34 серии.		Приказы, Распоряжения, Договоры с организациями, которые проводят работы по созданию системы защиты информации, Документы в соответствии с положениям и ГОСТ 34 серии
34.	Разработать систему защиты в соответствии с положениями Стандартов Банка России, и требованиями, определенным на этапах 19, 20.
35.	Разработка технических заданий на создание системы защиты. Разработка частных технических заданий на доработку ИСПДн.		Технические задания. Частные технические задания
36.	Вести учет носителей ПДн, СЗИ, в том числе поэкземплярный учет СКЗИ, криптографических ключей		Справки Журналы учета
37.	Назначить приказом ответственного пользователя СКЗИ, имеющего необходимый уровень квалификации		Приказ о назначении ответственно го за СКЗИ
38.	Обеспечить размещение, специальное оборудование, охрану и организацию режима в помещениях, где установлены СКЗИ или хранятся криптографические ключи
39.	Определить подразделения и назначить лиц, ответственных за эксплуатацию средств защиты информации с их обучением по направлению обеспечения безопасности ПДн		Приказы, распоряжения
40.	Провести обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними		Документы о прохождении обучения
41.	Доработка существующих документов и разработка новых документов с целью приведения документов организации в соответствие с требованиями Федерального закона "О персональных данных" и Стандартов Банка России		Документы
42.	Определить необходимость получения лицензий (в соответствии с пунктами 9.6 и 9.7 СТО БР ИББС-1.0-2010)		Лицензии
43.	Проводить разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений		Журнал учета нештатных ситуаций
44.	Выполнять постоянный контроль обеспечения безопасности ПДн		Справки, отчеты
45.	Провести самооценку соответствия информационной безопасности (в том числе обеспечения безопасности персональных данных) требованиям СТО БР ИББС-1.0-20...		Отчет о результатах. План устранения выявленных недостатков
46.	Провести внешнюю оценку соответствия информационной безопасности (в том числе обеспечения безопасности персональных данных) требованиям СТО БР ИББС-1.0-20...		Отчет и Заключение. План устранения выявленных недостатков
47.	Подготовить и утвердить "Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2010"		Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2010
48.	Направить "Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0-2010"
49.	Выполнять постоянный контроль обеспечения безопасности ПДн		Справки, отчеты, заключения