Приказ о назначении администратора информационной безопасности

Транскрипт

1 УТВЕРЖДЕНО Приказом <НАЗВАНИЕ ДОЛЖНОСТИ> <НАЗВАНИЕ ОРГАНИЗАЦИИ> <ФИО> от 20 г. 1 Введение ИНСТРУКЦИЯ администратору информационной безопасности <НАЗВАНИЕ ОРГАНИЗАЦИИ> 1.1 Данная инструкция определяет круг задач, основные права и обязанности администратора информационной безопасности <ПОЛНОЕ НАЗВАНИЕ ОРГАНИ- ЗАЦИИ> (далее по тексту <НАЗВАНИЕ ОРГАНИЗАЦИИ>). 2 Общие положения 2.1 Назначение на должность администратора информационной безопасности, закрепление за данным лицом определенных полномочий и обязанностей производится приказом <ДОЛЖНОСТЬ> <НАЗВАНИЕ ОРГАНИЗАЦИИ>. 2.2 В своей деятельности администратор информационной безопасности руководствуется требованиями действующего законодательства Российской Федерации и внутренних документов <НАЗВАНИЕ ОРГАНИЗАЦИИ> по вопросам защиты информации, обеспечивает их выполнение в <НАЗВАНИЕ ОРГАНИЗАЦИИ>. 2.3 Администратор информационной безопасности непосредственно подчиняется <ДОЛЖНОСТЬ> <НАЗВАНИЕ ОРГАНИЗАЦИИ> и, помимо обязанностей, закрепленных настоящей Инструкцией, исполняет его указания и распоряжения в рамках выполнения своих основных задач. 3 Основные задачи администратора информационной безопасности 3.1 Основными задачами администратора информационной безопасности являются: ведение и актуализация перечня работников <НАЗВАНИЕ ОРГАНИЗАЦИИ>, имеющих доступ к персональным данным (далее по тексту ПДн), обрабатываемым в <НАЗВАНИЕ ОРГАНИЗАЦИИ>; оценка угроз безопасности ПДн, обрабатываемых в информационных системах персональных данных (далее по тексту ИСПДн) <НАЗВАНИЕ ОРГАНИ- ЗАЦИИ>, и их источников; участие в выборе методов и способов защиты ПДн, обрабатываемых в ИСПДн, формирование требований по обеспечению безопасности ПДн с помощью технических методов защиты;

2 2 участие в проектировании системы защиты персональных данных (далее по тексту СЗПДн) и внедрении средств защиты информации, взаимодействие с подрядными организациями, привлеченными для выполнения данных работ; мониторинг функционирования средств защиты информации; участие в реагировании на инциденты информационной безопасности, связанные с нарушением заданных характеристик безопасности ПДн, обрабатываемых в ИСПДн; обеспечение соблюдения требований по безопасности информации при эксплуатации технических средств, а также при выводе технических средств или их элементов из эксплуатации, в том числе при передаче в ремонт. 4 Обязанности администратора информационной безопасности 4.1 На администратора информационной безопасности возлагаются обязанности по разработке и поддержанию в актуальном состоянии матрицы доступа к защищаемым информационным (программным) ресурсам <НАЗВАНИЕ ОРГАНИЗА- ЦИИ>, включающей в себя: перечень ИСПДн <НАЗВАНИЕ ОРГАНИЗАЦИИ>; перечень защищаемых информационных (программных) ресурсов <НАЗВАНИЕ ОРГАНИЗАЦИИ>; перечень сотрудников <НАЗВАНИЕ ОРГАНИЗАЦИИ>, допущенных к самостоятельной работе на рабочих местах ИСПДн; перечень сторонних лиц, имеющих доступ к ИСПДн <НАЗВАНИЕ ОРГА- НИЗАЦИИ> в целях обработки ПДн; перечень лиц, допущенных к обслуживанию ИСПДн <НАЗВАНИЕ ОР- ГАНИЗАЦИИ>; права различных категорий лиц, допущенных к работе на рабочих местах ИСПДн, в отношении защищаемых информационных (программных) ресурсов. 4.2 На основании матрицы доступа администратор информационной безопасности поручает администратору ИСПДн (системному администратору) создавать учетные записи пользователей ИСПДн и назначать им соответствующие права в отношении защищаемых ресурсов, генерировать необходимую для доступа к ИСПДн аутентификационную (парольную) и ключевую информацию, подготавливать при необходимости материальные носители аутентификационной и ключевой информации. 4.3 Администратор информационной безопасности проводит инструктаж работников <НАЗВАНИЕ ОРГАНИЗАЦИИ> по вопросам обеспечения безопасности ПДн, обрабатываемых в ИСПДн, при предоставлении им возможности доступа к ИСПДн и выдает под роспись пользователям ИСПДн материальные носители аутентификационной и ключевой информации (в случае их использования). 4.4 Администратору информационной безопасности запрещается разрешать доступ к ПДн, обрабатываемым в ИСПДн, работникам <НАЗВАНИЕ ОРГАНИЗА- ЦИИ>, не включенным в перечень лиц, доступ к ПДн которым необходим для выполнения служебных (трудовых) обязанностей.

3 3 4.5 Администратор информационной безопасности несет ответственность за назначение лицам минимально необходимого им для выполнения служебных обязанностей набора прав в отношении защищаемых информационных (программных) ресурсов. 4.6 Длина паролей, выбираемых администратором информационной безопасности, должна быть не менее 12 символов. В качестве пароля должна быть выбрана последовательность букв верхнего и нижнего регистра с обязательным включением цифр и (или) специальных символов. Категорически запрещается использование в качестве пароля легко угадываемых последовательностей символов (идентификатор пользователя, его фамилия, имя или отчество, номер телефона, имена родственников, последовательно расположенные на стандартной клавиатуре символы, табельный номер и т. п.). Запрещается использование в качестве паролей слов распространенных мировых языков независимо от раскладки клавиатуры, в которой они набираются. Рекомендуется наряду с английскими буквами использовать буквы русского алфавита (с переключением набора символов на клавиатуре). 4.7 Пароли администратора информационной безопасности должны быть уникальными и не должны совпадать с другими паролями администратора информационной безопасности, в частности, с паролями электронной почты, программ обмена мгновенными сообщениями и др. 4.8 Максимальный срок использования паролей администратора информационной безопасности 4 месяца. 4.9 Администратору информационной безопасности запрещается хранить пароли в записанном виде. За нарушение данного правила администратор информационной безопасности может быть привлечен к дисциплинарной ответственности Хранение администратором информационной безопасности паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе главного врача <НАЗВАНИЕ ОРГАНИЗАЦИИ> в опечатанном личной печатью пенале (конверте). При нарушении целостности печати или утрате бумажного носителя пароли считаются скомпрометированными и подлежат немедленной смене На администратора информационной безопасности возлагаются обязанности по разработке модели угроз безопасности ПДн, обрабатываемых в ИСПДн <НАЗВАНИЕ ОРГАНИЗАЦИИ>, в соответствии с требованиями действующих нормативно-методических документов. Разрабатываемая администратором информационной безопасность модель угроз безопасности ПДн, обрабатываемых в ИС- ПДн, должна включать: описание возможных источников угроз безопасности ПДн, обрабатываемых в ИСПДн; оценку возможности реализации угроз безопасности ПДн с учетом принятых в <НАЗВАНИЕ ОРГАНИЗАЦИИ> мер защиты, условий функционирования ИСПДн, других объективных и субъективных факторов; оценку вреда, который может быть причинен субъекту ПДн в случае реализации угрозы безопасности ПДн Администратор информационной безопасности ежегодно осуществляет пересмотр (актуализацию) модели угроз безопасности ПДн, обрабатываемых в ИС-

4 4 ПДн. Кроме того, актуализация модели угроз безопасности ПДн должна осуществляться в случае: ввода в эксплуатацию новой ИСПДн; внесения существенных изменений в технологический процесс обработки ПДн в ИСПДн <НАЗВАНИЕ ОРГАНИЗАЦИИ>, в условия функционирования ИС- ПДн; реализации мероприятий по обеспечению безопасности ПДн, обрабатываемых в ИСПДн, существенно влияющих на оценку возможности реализации угроз безопасности ПДн, обрабатываемых в ИСПДн Администратор информационной безопасности ведет учет применяемых средств защиты информации, эксплуатационной и технической документации к ним по установленной форме Администратор информационной безопасности обязан обеспечить надежное хранение дистрибутивов к средствам защиты информации, документации к ним, документации на СЗПДн в целом Администратор информационной безопасности регулярно проводит контроль соблюдения условий эксплуатации средств защиты информации, предусмотренных эксплуатационной и технической документацией. Нарушение условий эксплуатации средств защиты информации является инцидентом информационной безопасности Администратор информационной безопасности организует доступ сторонних лиц к ИСПДн и (или) ее элементам при проведении работ по созданию, модернизации, эксплуатации СЗПДн, при сопровождении ИСПДн, обслуживании технических средств, способом, исключающим возможность несанкционированного доступа к ПДн или их носителям, в том числе, возможность хищения носителя ПДн. В случае невозможности исключения доступа к ПДн администратор информационной безопасности обязан под роспись уведомить сторонних лиц, получающих доступ к ИСПДн и (или) ее элементам о необходимости обеспечивать конфиденциальность (целостность, доступность) ПДн и ответственности за правонарушения в сфере информационной безопасности в соответствии с действующим законодательством Работы по созданию, модернизации, эксплуатации СЗПДн, обслуживанию технических средств проводятся сторонними лицами в присутствии администратора информационной безопасности. Работы по обслуживанию ИСПДн могут проводиться в присутствии лица, ответственного за эксплуатацию ИСПДн (по решению администратора информационной безопасности) Администратор информационной безопасности контролирует размещение всех технических средств, участвующих в обработке ПДн, а также входящих в состав вычислительной сети <НАЗВАНИЕ ОРГАНИЗАЦИИ> (в случае, если технические средства ИСПДн так же входят в состав вычислительной сети), в том числе, сетевого оборудования, в пределах защищаемых помещений (защищаемых зданий, частей здания), исключение возможности несанкционированного доступа к техническим средствам, расположенным вне контролируемой зоны При выводе из эксплуатации (либо передаче сторонним организациям в целях ремонта) отдельных элементов ИСПДн администратор информационной без-

5 5 опасности обязан обеспечить удаление из запоминающих устройств ПДн и технологической (служебной, конфигурационной, управляющей и т. д.) информации способом, предусмотренным технологией записи в запоминающее устройство. На администратора информационной безопасности возлагаются обязанности по контролю соответствия технического паспорта ИСПДн фактическому составу (комплектности) средств вычислительной техники информационной системы и ведению учета изменений программно-аппаратной конфигурации, периодическому контролю целостности печатей (пломб, наклеек) на элементах защищенных рабочих мест (при наличии таковых). В этих целях администратор информационной безопасности ведет Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания средств вычислительной техники, выполнения профилактических работ, установки и модификации аппаратных и программных средств автоматизированных систем (ИСПДн). Кроме того, администратор информационной безопасности должен обеспечить фиксацию всех изменений технического характера в соответствующем техническом паспорте ИСПДн Если пользователь сообщает о невозможности входа в систему под своей учетной записью, администратор информационной безопасности должен: убедиться в том, что сотрудник правильно вводит имя пользователя; убедиться в том, что учетная запись не заблокирована; проанализировать содержимое журналов безопасности с целью выявления успешных и неуспешных попыток входа в систему с использованием данной учетной записи и узлов сети, с которых осуществлялся вход; сопоставить данные, полученные в результате анализа журналов безопасности, с информацией о режиме работы данного пользователя и его личной рабочей станции; установить причины нештатной ситуации и определить, имел ли место инцидент информационной безопасности; в случае если событие не отнесено к категории инцидентов информационной безопасности, устранить причины нештатной ситуации и обеспечить возможность входа пользователя в систему; в случае инцидента информационной безопасности осуществить процедуру реагирования на инцидент информационной безопасности в порядке, описанном в пункте 4.21 настоящей Инструкции. При возникновении подозрения о компрометации пароля администратор информационной безопасности должен: обеспечить незамедлительную смену скомпрометированного пароля (или убедиться, что смена пароля уже произведена пользователем); установить время и дату предполагаемой компрометации пароля; проанализировать содержимое журналов безопасности начиная со дня, предшествующего предполагаемой дате компрометации, с целью обнаружения фактов входа в систему с использованием учетной записи пользователя, чей пароль был скомпрометирован, и узлов сети, с которых осуществлялся вход;

6 6 сопоставить данные, полученные в результате анализа журналов безопасности, с информацией о режиме работы пользователя, использующего данную учетную запись, и его личной рабочей станции; установить, имел ли место инцидент информационной безопасности; в случае инцидента информационной безопасности осуществить процедуру реагирования на инцидент информационной безопасности в порядке, описанном в пункте 4.21 настоящей Инструкции При поступлении сообщения о возникновении нештатной ситуации (события, выходящего за рамки штатного функционирования <НАЗВАНИЕ ОРГАНИ- ЗАЦИИ>) администратор информационной безопасности совместно с системным администратором осуществляет оперативный сбор информации, связанной с событием, и оценку этой информации с целью определения, относится ли событие к категории инцидентов информационной безопасности. К инцидентам информационной безопасности должны быть отнесены следующие события: уничтожение или блокирование данных, технических средств, инфраструктуры и элементов ИСПДн вследствие стихийного бедствия, пожара, затопления или техногенных факторов (сбои, отказы программного обеспечения, технических средств, систем обеспечения функционирования ИСПДн); нежелательная сетевая активность (сканирование сети, попытки подбора пароля, взлома системы защиты или воздействия на технические (в том числе, программные) средства); уничтожение, кража носителей ПДн, раскрытие, модификация или блокирование ПДн вследствие несанкционированного проникновения в контролируемую зону; утрата отчуждаемого носителя информации; уничтожение, модификация, блокирование, раскрытие информации или нарушение работоспособности ИСПДн вследствие успешно проведенной атаки или воздействия вредоносного программного обеспечения; уничтожение, модификация, блокирование, раскрытие информации или нарушение работоспособности ИСПДн, совершенные пользователем ИСПДн (или от его имени) с использованием назначенных ему прав; нарушение установленных в <НАЗВАНИЕ ОРГАНИЗАЦИИ> требований по безопасности. При отнесении события к категории инцидентов информационной безопасности, администратор информационной безопасности совместно с системным администратором должен оценить уровень потенциального риска (путем определения возможности и характера ущерба, оценки темпа развития инцидента информационной безопасности): уровень 1 инцидент информационной безопасности является локальным и может быть разрешен силами <НАЗВАНИЕ ОРГАНИЗАЦИИ>; уровень 2 инцидент информационной безопасности может привести к существенному ущербу и может быть разрешен силами <НАЗВАНИЕ ОРГАНИЗА- ЦИИ> лишь частично;

7 7 уровень 3 последствия инцидента информационной безопасности являются критическими, и он не может быть разрешен силами <НАЗВАНИЕ ОРГАНИ- ЗАЦИИ>. В случае отнесения инцидента информационной безопасности к уровню 2 или уровню 3 незамедлительно уведомляется лицо, ответственное за организацию обработки ПДн, и <НАЗВАНИЕ ОРГАНИЗАЦИИ>. Администратор информационной безопасности совместно с системным администратором (с привлечением при необходимости иных сотрудников и специалистов) осуществляют локализацию инцидента информационной безопасности. При локализации инцидента информационной безопасности указанные сотрудники с учетом оценки реальной ситуации и существующих возможностей под свою ответственность осуществляют выбор стратегии и способа реагирования на инцидент информационной безопасности. В рамках локализации инцидента информационной безопасности могут быть предприняты реактивные действия (отключение технических средств от внешних сетей или их изоляция; изменение настроек межсетевого экрана, маршрутизаторов, других технических средств; принятие иных экстренных мер) или проактивные действия (наблюдение, предупреждение дальнейшего развития инцидента информационной безопасности)). Допустимость реактивных действий определяется с учетом характера инцидента информационной безопасности и уровня потенциального риска в случае непринятия реактивных мер. После локализации инцидента информационной безопасности администратором информационной безопасности составляется письменный отчет об инциденте информационной безопасности, его копия направляется лицу, ответственному за организацию обработки ПДн, и главному врачу <НАЗВАНИЕ ОРГАНИЗАЦИИ>. На администратора информационной безопасности возлагается ответственность за достоверность сведений, указанных в отчете об инциденте информационной безопасности. В отчете должны быть зафиксированы: дата и время, когда произошел инцидент информационной безопасности; перечень лиц (должность, фамилия, имя, отчество), бывших свидетелями события или сообщивших о нем; описание инцидента информационной безопасности; перечень свидетельств события и место их хранения (при наличии свидетельств); последовательность проведенных мероприятий и действий по локализации инцидента информационной безопасности, описание использованных при этом средств; описание ущерба и иных последствий инцидента информационной безопасности, в том числе вероятных последствий; выводы о возможных причинах инцидента информационной безопасности. Данный документ хранится у администратора информационной безопасности. Администратор информационной безопасности отвечает за обеспечение сохранности информации, относящейся к инциденту информационной безопасности. Указанная информация в дальнейшем может использоваться при проведении ком-

8 8 пьютерно-технической экспертизы, а также в качестве доказательной базы при судебном разбирательстве Администратору информационной безопасности запрещается: без согласования со специализированной организацией, осуществляющей сопровождение СЗПДн, изменять состав используемых на рабочих местах и серверах ИСПДн программных средств (в том числе, деинсталлировать установленные средства защиты информации; удалять или менять версию антивирусной программы; устанавливать программы, не участвующие в технологическом процессе обработки информации); изменять настройки средств защиты информации без согласования со специализированной организацией, осуществляющей сопровождение СЗПДн; использовать любые USB-устройства, не участвующие в технологическом процессе обработки информации и не зарегистрированные в соответствующем журнале; передавать сторонним организациям в целях ремонта носители информации, которые могут содержать ПДн (жесткие диски, USB-носители и т. п.); использовать предоставленные полномочия в целях, отличных от целей, предусмотренных служебными обязанностями; производить в рабочее время действия, приводящие к сбою, остановке, замедлению работы автоматизированной системы (ИСПДн), блокировке, потере информации, без предупреждения пользователей 1. 5 Права администратора информационной безопасности 5.1 Администратор информационной безопасности имеет право: осуществлять оперативное вмешательство в работу пользователя при явной угрозе безопасности информации в результате несоблюдения установленной технологии обработки информации и невыполнения требований по безопасности с последующим докладом лицу, ответственному за организацию обработки ПДн, и главному врачу <НАЗВАНИЕ ОРГАНИЗАЦИИ>; вносить свои предложения по совершенствованию мер защиты обрабатываемых ПДн. Разработал: Лицо, ответственное за организацию обработки персональных данных Ознакомлен: наименование должности Дата ознакомления: Ф.И.О. Ф.И.О. 1 Действие данного пункта не распространяется на критичные (нештатные) ситуации, при которых необходимо прекращение дальнейшей обработки информации с целью сохранения заданных характеристик безопасности обрабатываемых данных.

1. Общие положения 1.1. Настоящая Положение о порядке обработки и обеспечения безопасности персональных данных (далее – Положение) составлена в соответствии с пунктом 2 статьи 18.1 Федерального закона «О персональных данных» № 152-ФЗ от 27 июля 2006 г., а также иными нормативно-правовыми актами Российской Федерации в области защиты и обработки персональных данных и действует в отношении всех персональных данных (далее – Данные), которые Организация (далее – Оператор, Общество) может получить от субъекта персональных данных, являющегося стороной по гражданско-правовому договору, а также от субъекта персональных данных, состоящего с Оператором в отношениях, регулируемых трудовым законодательством (далее – Работник). 1.2. Оператор обеспечивает защиту обрабатываемых персональных данных от несанкционированного доступа и разглашения, неправомерного использования или утраты в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных». 1.3. Изменение Положения 1.3.1. Оператор имеет право вносить изменения в настоящее Положение. При внесении изменений в заголовке Положения указывается дата последнего обновления редакции. Новая редакция Положение вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Положения. 2. Термины и принятые сокращения: Персональные данные (ПД) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники. Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств. Персональные данные, сделанные общедоступными субъектом персональных данных, – ПД, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных). Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. Оператор – организация, самостоятельно или совместно с другими лицами организующая обработку персональных данных, а также определяющая цели обработки персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Оператором является ООО «Пивной Ресторан», расположенное по адресу: г. Екатеринбург, ул. Восточная, д. 82. 3. Обработка персональных данных 3.1. Получение ПД. 3.1.1. Все ПД следует получать от самого субъекта. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие. 3.1.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с ПД, сроке, в течение которого действует согласие, и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение. 3.1.3. Документы, содержащие ПД, создаются путем: – копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.); – внесения сведений в учетные формы; – получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.). 3.2. Обработка ПД. 3.2.1. Обработка персональных данных осуществляется: – с согласия субъекта персональных данных на обработку его персональных данных; – в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством РФ функций, полномочий и обязанностей; – в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных). 3.2.2. Цели обработки персональных данных: – осуществление трудовых отношений; – осуществление гражданско-правовых отношений. 3.2.3. Категории субъектов персональных данных. Обрабатываются ПД следующих субъектов ПД: – физические лица, состоящие с Обществом в трудовых отношениях; – физические лица, уволившиеся из Общества; – физические лица, являющиеся кандидатами на работу; – физические лица, состоящие с Обществом в гражданско-правовых отношениях. 3.2.4. ПД, обрабатываемые Оператором: – данные, полученные при осуществлении трудовых отношений; – данные, полученные для осуществления отбора кандидатов на работу; – данные, полученные при осуществлении гражданско-правовых отношений. 3.2.5. Обработка персональных данных ведется: – с использованием средств автоматизации; – без использования средств автоматизации. 3.3. Хранение ПД. 3.3.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде. 3.3.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах либо в запираемых помещениях с ограниченным правом доступа. 3.3.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках. 3.3.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД. 3.3.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. 3.4. Уничтожение ПД. 3.4.1. Уничтожение документов (носителей), содержащих ПД, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера. 3.4.2. ПД на электронных носителях уничтожаются путем стирания или форматирования носителя. 3.4.3. Факт уничтожения ПД подтверждается документально актом об уничтожении носителей. 3.5. Передача ПД. 3.5.1. Оператор передает ПД третьим лицам в следующих случаях: – субъект выразил свое согласие на такие действия; – передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры. 3.5.2. Перечень лиц, которым передаются ПД. Третьи лица, которым передаются ПД: – Пенсионный фонд РФ для учета (на законных основаниях); – налоговые органы РФ (на законных основаниях); – Фонд социального страхования РФ (на законных основаниях); – территориальный фонд обязательного медицинского страхования (на законных основаниях); – страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях); – банки для начисления заработной платы (на основании договора); – органы МВД России в случаях, установленных законодательством. 4. Защита персональных данных 4.1. В соответствии с требованиями нормативных документов Оператором создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты. 4.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно- распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД. 4.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами. 4.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД. 4.5. Основными мерами защиты ПД, используемыми Оператором, являются: 4.5.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД. 4.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД и разработка мер и мероприятий по защите ПД. 4.5.3. Разработка политики в отношении обработки персональных данных. 4.5.4. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечение регистрации и учета всех действий, совершаемых с ПД в ИСПД. 4.5.5. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями. 4.5.6. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации. 4.5.7. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами. 4.5.8. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ. 4.5.9. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер. 4.5.10. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним. 4.5.11. Обучение работников Оператора, непосредственно осуществляющих обработку персональных данных, положениям законодательства РФ о персональных данных, в том числе требованиям к защите персональных данных, документам, определяющим политику Оператора в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных. 4.5.12. Осуществление внутреннего контроля и аудита. 5. Основные права субъекта ПД и обязанности Оператора 5.1. Основные права субъекта ПД. Субъект имеет право на доступ к его персональным данным и следующим сведениям: – подтверждение факта обработки ПД Оператором; – правовые основания и цели обработки ПД; – цели и применяемые Оператором способы обработки ПД; – наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона; – сроки обработки персональных данных, в том числе сроки их хранения; – порядок осуществления субъектом ПД прав, предусмотренных настоящим Федеральным законом; – наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу; – обращение к Оператору и направление ему запросов; – обжалование действий или бездействия Оператора. 5.2. Обязанности Оператора. Оператор обязан: – при сборе ПД предоставить информацию об обработке ПД; – в случаях если ПД были получены не от субъекта ПД, уведомить субъекта; – при отказе в предоставлении ПД субъекту разъясняются последствия такого отказа; – опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД; – принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД; – давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.

Сегодня решил набросать перечень банковской нормативки по ИБ, чтобы как-то визуально ее структурировать. Ограничиваться только документами ЦБ особого смысла не вижу. Поэтому решил пройтись по всей российской нормативной базе. Старался упомянуть каждый документ начиная с Конституции и международных документов и заканчивая стандартом, которые прямо или косвенно влияют на ИБ в банковской сфере. За несколько часов набросал увесистый драфт который решил опубликовать без дотошной проверки:

Для простоты восприятия все документы сгруппированы в блоки и перечисляются в общепринятой иерархии. Между блоками как и самими документами связей нет (причины очевидны, много стрелок 😉 ).

В российской нормативной базе много документов по гостайне, которые ввиду изначальной цели не упоминал. Также не указывал бесчисленное количество документов госсектора.

Чтобы меня не закидали тухлыми помидорами, повторюсь, что документ не претендует на гордое звание «результата научной работы», это всего лишь беглый обзор структуры очень непростой и бурно растущей нормативной базы по ИБ в банках.

Автор статьи: Царев Евгений

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *