(цифрами и прописью)
На указанных носителях персональные данные уничтожены путем _____________________________________________________________________.
(стирания на устройстве гарантированного уничтожения информации и т. п.)
Перечисленные носители ПДн уничтожены путем ___________________________________________________________________.
(разрезания, сжигания, механического уничтожения, сдачи предприятию по утилизации вторичного сырья и т. п.)
Председатель комиссии: _________________ / /
Члены комиссии: _________________ / /
_________________ / /
Приложение 13
Подтверждение соответствия
«Наименование организации БС РФ»
стандарту Банка России СТО БР ИББС-1.0-20хх
Настоящее Подтверждение соответствия является документальным удостоверением того, что в результате проведения оценки соответствия «Наименование организации БС РФ» положениям стандарта Банка России СТО БР ИББС-1.0-20хх «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (далее – СТО БР ИББС-1.0)
с использованием стандартов Банка России СТО БР ИББС-1.2-20хх «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организации БС РФ требованиям СТО БР ИББС-1.0» и СТО БР ИББС–1.1-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности»
были получены следующие результаты:
1. Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих обработку персональных данных (регулятор – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, Роскомнадзор):
________________________________________;
2. Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных, без учета оценки степени выполнения требований СТО БР ИББС-1.0 по обеспечению информационной безопасности при использовании средств криптографической защиты информации (регулятор – Федеральная служба по техническому и экспортному контролю, ФСТЭК России):
________________________________________;
3. Оценка степени выполнения требований СТО БР ИББС-1.0, регламентирующих защиту персональных данных в информационных системах персональных данных при использовании средств криптографической защиты информации (регулятор - Федеральная служба безопасности Российской Федерации, ФСБ России):
________________________________________;
4. Итоговый уровень соответствия информационной безопасности организации БС РФ требованиям СТО БР ИББС-1.0 (регулятор - Центральный банк Российской Федерации):
________________________________________.
Оценка соответствия была проведена в форме внешней оценки соответствия «Наименование организации БС РФ» положениям СТО БР ИББС-1.0 «Наименование проверяющей организации» по состоянию на «ХХ. ХХ. ХХХХ».
Оценка соответствия была проведена в форме самооценки соответствия «Наименование организации БС РФ» положениям СТО БР ИББС-1.0 по состоянию на «ХХ. ХХ. ХХХХ».
<Руководитель организации>: _________________ / /
«___» _______________20__ г
Приложение 14
Журнал учета средств криптографической защиты информации
Журнал начат «____» ______________________ 200__ г. | Журнал завершен «____» ______________________ 200__ г. |
Должность | Должность |
______________________ / ФИО должностного лица / | ______________________ / ФИО должностного лица / |
На _____ листах
№ п. п. | Наименование СКЗИ | Регистрационный номер СКЗИ | Отметка о получении | Отметка о выдаче | Отметка о подключении (установке) СКЗИ | Отметка об изъятии СКЗИ из аппаратных средств ИСПДН | Примечание | ||||||
От кого получены | Дата и номер сопроводи-тельного письма | Ф. И.О. пользователя СКЗИ, производившего подключение (установку) | Дата подключения (установки) и подписи лиц, произведших подключение (установку) | Ф. И.О. пользователя СКЗИ, производившего подключение (установку) | Дата подключения (установки) и подписи лиц, произведших подключение (установку) | Номера аппаратных средств, в которые установлены или к которым подключены СКЗИ | Дата изъятия (уничтожения) | Ф. И.О. пользователя СКЗИ, производившего изъятие (уничтожение) | Номер акта или расписка об уничтожении | ||||
1 | 2 | 3 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 |
Приложение 15
ПРИКАЗ
Об назначении работников, допущенных к работе с ключами средств криптографической защиты информации
С целью исполнения законодательных требований, а также требований внутренних документов________________________________________________
(наименование организации БС РФ)
при обработке персональных данных
ПРИКАЗЫВАЮ:
1. Приказываю утвердить список работников____________________________________________________________,
(наименование структурного подразделения организации БС РФ) или (наименование организации БС РФ)
допущенных к работе с ключами средств криптографической защиты информации.
2. Контроль за исполнением настоящего приказа оставляю за собой.
<Руководитель комиссии>: _________________ / /
«___» _______________20__г
Приложение
к приказу от «___» _______________20__г. № ______
Список работников,
допущенных к работе с ключами средств криптографической защиты информации
№ п/п | Наименование СКЗИ | Название должности | ФИО | Наименование ИСПДн |
Руководитель структурного подразделения
или должностное лицо, ответственное
за обеспечение безопасности
персональных данных _________________ / /
от «___» _______________20__г.
Приложение 16
Журнал учета криптографических ключей
Журнал начат «____» ______________________ 200__ г. | Журнал завершен «____» ______________________ 200__ г. |
Должность | Должность |
______________________ / ФИО должностного лица / | ______________________ / ФИО должностного лица / |
На _____ листах
№ п. п. | Номера экземпляров (криптографичес-кие номера) ключевых документов | Номера серий криптогра-фических ключей | Наименование СКЗИ | Отметка о получении | Отметка о выдаче | Отметка об уничтожении ключевых документов | ||||
От кого получены | Дата и номер сопроводи-тельного письма | Ф. И.О. пользователя | Дата | Дата уничто-жения | Ф. И.О. пользователя СКЗИ, производившего уничтожение | Номер акта или расписка об уничтожении | ||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 12 | 13 | 14 |
Приложение 17
Утверждаю
<руководитель структурного подразделения
или должностное лицо, ответственное
за обеспечение безопасности
персональных данных>
ФИО
__________________________
«___» _______________2009 г.
Акт о комиссионном уничтожении криптографических ключей
Комиссия в составе:
ФИО | Должность | |
Председатель | ||
Члены комиссии | ||
провела уничтожение криптографических ключей:
№ п/п | Дата | Тип носителя ключа | Регистрационный номер носителя ключа | Наименование СКЗИ | Примечание |
Всего носителей криптографических ключей __________________________
(цифрами и прописью)
На указанных носителях криптографические ключи уничтожены путем _____________________________________________________________________.
(стирания на устройстве гарантированного уничтожения информации и т. п.)
Перечисленные носители криптографических ключей уничтожены путем ______ ___________________________________________________________________.
(разрезания, сжигания, механического уничтожения, сдачи предприятию по утилизации вторичного сырья и т. п.)
Председатель комиссии: _________________ / /
Члены комиссии: _________________ / /
_________________ / /
[1] В этом случае, орган государственного контроля (надзора) сможет выписать предписании об устранении обнаруженных нарушений, а в качестве срока устранения нарушений будет использован данный поэтапный план.
[2] NIST SP800-122 «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)», BS10012:2009 «Data protection – Specification for a personal information management system», ISO 25237:2008 «Health informatics – Pseudonymization»
[3] Содержание столбца определяется решением комиссии по приведению организации БС РФ в соответствие требованиям Федерального закона «О персональных данных»
[4] Содержание столбца определяется решением решением комиссии по приведению организации БС РФ в соответствие требованиям Федерального закона «О персональных данных». Могут содержаться следующие данные:
- Перечень персональных данных, которые обрабатываются в ИСПДн.
- Категория обрабатываемых персональных данных - в том случае, если в организации БС РФ проводится классификация персональных данных, в соответствии с пунктом 7.10.3 стандарта Банка России СТО БР ИББС-1.0-20хх.
- Объем обрабатываемых персональных данных - количество субъектов персональных данных, персональные данные которых обрабатываются в ИСПДн.
- Виды обработки персональных данных - заполняется в соответствии с пунктом 3 статьи 3 Федерального закона «О персональных данных».
- Характеристики безопасности - Конфиденциальность, целостность, доступность и другие свойства безопасности персональных данных.
- Структура ИСПДн, Наличие подключения ИСПДн к сетям связи общего пользования и сетям международного информационного обмена, Режим обработки персональных данных, Режим разграничения прав доступа пользователей к ИСПДн, Местонахождение технических средств ИСПДн - заполняется в соответствии с пунктами 9-13 Порядка проведения классификации информационных систем персональных данных, утвержденного приказом ФСТЭК, ФСБ и Минсвязи от 01.01.01 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»
[5] В соответствии с определенными критериями классификации (пункт 7.11.3 стандарта Банка России СТО БР ИББС-1.0-20хх)
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 |
