Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации (на основе комплекса документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации") (разработаны Банком России, Ассоциацией российских банков, Ассоциацией региональных банков России (Ассоциацией "Россия"))
- Приложение 2. План приведения организации БС РФ в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"
Приложение 2. План приведения организации БС РФ в соответствие с требованиями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных"
Приложение 2
Утверждаю
<руководитель организации БС РФ>
ФИО
________________________
"___" _________ 20___ г.
План
приведения ___________________________________________________________________
(наименование организации БС РФ)
в соответствие с требованиями Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных"
|
N п/п |
Наименование мероприятия |
Основание (нормативный акт) |
Форма реализации |
Статус реализации |
Срок выполнения |
Ответственное лицо |
Примечание |
|
1. |
Изучить бизнес-процессы организации БС РФ и технологические процессы обработки информации. |
|
|
|
|
|
|
|
2. |
Идентифицировать и описать все бизнес-процессы (технологические процессы), в рамках которых обрабатываются ПДн. |
|
|
|
|
|
|
|
3. |
Определить какие программные и технические средства используются в технологических процессах, в рамках которых обрабатываются ПДн. |
|
|
|
|
|
|
|
4. |
Определить работников организации (должности), участвующих в технологических процессах, в рамках которых обрабатываются ПДн. |
|
|
|
|
|
|
|
5. |
Определить состав обрабатываемых в организации ПДн (тип, категория, объем). |
|
Проект перечня ПДн |
|
|
|
|
|
6. |
Определить цели, правовое основание, условия и принципы обработки ПДн. |
|
Проект перечня ПДн |
|
|
|
|
|
7. |
Определить, выполняется ли обработка специальных категорий ПДн. Если да, то на каком основании. |
|
Проект перечня ПДн |
|
|
|
|
|
8. |
Определить к какому типу защищаемой (коммерческая тайна, банковская тайна и др.) информации относятся ПДн. |
|
Проект перечня ПДн |
|
|
|
|
|
9. |
Сопоставить объем собираемых ПДн целям обработки (убрать избыточные данные). |
|
Перечень ПДн |
|
|
|
|
|
10. |
Определить срок хранения ПДн. |
|
Перечень ПДн или отдельный нормативный акт |
|
|
|
|
|
11. |
Определить необходимость получения согласия на обработку ПДн и для тех случаев, когда необходимо, получить такое согласие в письменном виде. |
|
Согласие субъектов на обработку ПДн |
|
|
|
|
|
12. |
Сообщать субъекту ПДн о целях обработки при сборе сведений, составляющих ПДн. |
|
Скорректированные формы договоров с субъектами персональных данных |
|
|
|
|
|
13. |
Определить ПДн, получаемые не непосредственно от субъекта ПДн, и для таких случаев уведомить субъектов. |
|
Типовая форма уведомления субъектов |
|
|
|
|
|
14. |
Определить порядок передачи ПДн сторонним организациям и лицам. |
|
|
|
|
|
|
|
15. |
Определить договорные взаимоотношения, в рамках которых выполняется передача ПДн третьей стороне и внести в такие договора требования об обеспечении конфиденциальности передаваемых ПДн. |
|
Изменение форм договоров и заключение дополнительных соглашений к действующим договорам |
|
|
|
|
|
16. |
Определить, выполняется ли трансграничная передача ПДн. Если да, то убедиться что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, или в противном случае имеется обоснование для такой передачи. |
|
|
|
|
|
|
|
17. |
Определить порядок реагирования на запросы со стороны субъектов ПДн и предоставления им их ПДн, внесения изменений, прекращения обработки ПДн |
|
Регламент реагирования на обращения субъектов. Журналы (книги) учета обращений субъектов персональных данных. Типовая форма ответа на запросы |
|
|
|
|
|
18. |
Определить порядок уничтожения ПДн после достижения целей обработки |
|
Инструкция по уничтожению ПДн. Акт об уничтожении персональных данных |
|
|
|
|
|
19. |
Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление |
|
Уведомление Роскомнадзора |
|
|
|
|
|
20. |
Определить структурное подразделение или должностное лицо, ответственное за обеспечение безопасности ПДн |
|
Приказ о назначении ответственного |
|
|
|
|
|
21. |
Провести анализ систем организации и составить перечень систем, в которых обрабатываются персональные данные. Выделить ИСПДн. |
|
Список систем, в которых обрабатываются персональные данные |
|
|
|
|
|
22. |
Выявить ИСПДн (в том числе государственные) и их границы (в рамках организации БС РФ), в отношении которых организация не определяет цели обработки и требования по защите (например, передача отчетности в Пенсионный фонд, ФНС, ФОМС и др.) |
|
|
|
|
|
Обеспечение безопасности ПДн в таких системах следует осуществлять в соответствии с предъявляемым и их организатором (владельцем) требованиями |
|
23. |
Разработать модель угроз ПДн |
|
Приказ о вводе в действие в организации БС РФ Отраслевой модели угроз или Частная модель угроз безопасности ПДн организации БС РФ |
|
|
|
|
|
24. |
Провести классификацию ИСПДн |
|
Акты классификации ИСПДн |
|
|
|
|
|
25. |
Оценить необходимость и возможности обезличивания ПДн. Провести обезличивание ПДн. При необходимости провести повторную классификацию ИСПДн |
|
|
|
|
|
|
|
26. |
Определить требования и меры по обеспечению безопасности ПДн |
|
Политика информационной безопасности или отдельный документ |
|
|
|
|
|
27. |
Разработать требования по обеспечению безопасности ПДн при обработке в ИСПДн |
|
Политика информационной безопасности или отдельный документ, содержащий требования по обеспечению безопасности ПДн |
|
|
|
|
|
28. |
Разработать должностные инструкции персоналу ИСПДн в части обеспечения безопасности ПДн при их обработке в ИСПДн |
|
Должностные инструкции персонала и журнал инструктажа |
|
|
|
|
|
29. |
Определить порядок действий должностных лиц в случае возникновения нештатных ситуаций |
|
Журнал учета нештатных ситуаций |
|
|
|
|
|
30. |
Определить порядок проведения контроля обеспечения безопасности ПДн |
|
Политика информационной безопасности или отдельный документ |
|
|
|
|
|
31. |
Анализ существующих защитных мер на предмет соответствия требованиям Стандартов Банка России и требованиям, определенным на этапах 19, 20 |
|
|
|
|
|
|
|
32. |
Выявление невыполненных в организации требований Стандартов Банка России и требований, определенных на этапах 19, 20, принятие решений о создании системы защиты персональных данных, доработке ИСПДн, доработке документов организации БС РФ и др. |
|
|
|
|
|
|
|
33. |
Организовать разработку системы обеспечения безопасности персональных данных на основе положений ГОСТ 34 серии. |
|
Приказы, Распоряжения, Договоры с организациями, которые проводят работы по созданию системы защиты информации, Документы в соответствии с положениям и ГОСТ 34 серии |
|
|
|
|
|
34. |
Разработать систему защиты в соответствии с |