УТВЕРЖДЕНО

Протоколом Совета Директоров

Порядок обработки персональных данных

в

Версия 3.12

МОСКВА-2012

Содержание

1. Общие положения. 3

2. Роли персонала. 3

3. Принципы обработки ПДн. 4

4. Способы обработки и перечень действий с ПДн. 4

5. Субъекты и категории ПДн. 5

6. Условия обработки ПДн. 5

7. Обязанности Банка. 7

8. Сбор ПДн. 8

9. Передача ПДн. 8

10. Хранение ПДн. 9

11. Уточнение, блокирование и уничтожение ПДн. 10

12. Обеспечение конфиденциальности ПДн. 10

13. Мероприятия по обеспечению безопасности ПДн. 11

13.1. Общие требования. 11

13.2. Автоматизированная обработка ПДн. 11

13.3. Обработка ПДн без использования средств автоматизации. 13

13.4. Доступ к ПДн. 15

13.5. Учет съемных электронных носителей ПДн. 15

13.6. Тестирование функций системы защиты ПДн. 15

14. Взаимодействие с государственными органами. 16

15. Контроль за выполнением требований положения. 16

16. Права и обязанности. 17

16.1. Ответственный за безопасность ПДн. 17

16.2. Юридическое Управление. 17

16.3. Отдел автоматизации. 18

16.4. Владелец ИСПДн. 18

17. Ответственность за нарушения при обработке персональных данных. 18

Согласие на обработку ПДн. 20

Уведомление субъекта об обработке ПДн. 22

Реестр доступа к ПДн. 23

Форма журнала учета материальных носителей. 24

Форма журнала учета средств защиты информации. 25

Приложение е. Акт об уничтожении ПДн. 26

Положения типового договора между Банком и обработчиком персональных данных 27

Инструкция по обращению с ПДн. 29

-  Постановление Правительства Российской Федерации от 01.01.2001 г. № 000 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

-  Положение «О методах и способах защиты информации в информационных системах персональных данных». Утверждено Приказом Федеральной службы по техническому и экспортному контролю 05.02.2010 г. №58.

1.4.  Действие настоящего Положения распространяется на все процессы по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению (в том числе передачу), обезличиванию, блокированию, уничтожению ПДн, осуществляемых с использованием средств автоматизации и без их использования.

1.5.  Настоящее положение должно быть доведено до каждого работника Банка, осуществляющего обработку персональных данных, под роспись.

2.  Роли персонала

2.1.  Во исполнение положений настоящего документа и соответствия требованиям законодательства РФ в части защиты прав субъектов (здесь и далее по тексту под субъектами ПДн понимается как сам субъект персональных данных, так и его законный представитель: родитель, опекун, попечитель и иные лица, полномочия которых установлены действующим федеральным законом либо законом РФ) персональных данных, в Банке вводятся следующие роли персонала:

-  Ответственный за обеспечение безопасности ПДн (далее – Ответственный за безопасность ПДн);

-  Владелец информационного ресурса ИСПДн (далее – Владелец ИСПДн);

2.2.  Обязанности по исполнению положений настоящего документа и соответствию требованиям законодательства РФ в части защиты прав субъектов распределяются между следующими сотрудниками Банка:

-  Специалист по информационной безопасности;

-  Сотрудники Юридического управления;

-  Сотрудники Отдела автоматизации.

2.3.  Назначение сотрудника на роль Ответственного за безопасность ПДн осуществляется приказом Председателя Правления.

2.4.  В целях обеспечения распределения полномочий, реализации взаимного контроля и недопущения сосредоточения критичных для безопасности ПДн полномочий у одного лица, ответственным за безопасность ПДн рекомендуется назначать специалиста по информационной безопасности.

2.5.  Права и обязанности Ответственного за безопасность ПДн, Юридического управления и Отдела автоматизации приведены в разделе 16 настоящего документа.

2.6.  Должностные инструкции Ответственного за безопасность ПДн, сотрудников Юридического управления и Отдела автоматизации должны быть расширены с учетом специфики обработки, защиты ПДн. Ответственный за безопасность ПДн, сотрудники Юридического управления и Отдела автоматизации должны быть ознакомлены под подпись со своими должностными инструкциями.

3.  Принципы обработки ПДн

3.1.  Обработка персональных данных должна осуществляться на законной и справедливой основе.

3.2.  Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.3.  Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.4.  Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.5.  Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3.6.  При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Банк должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

4.  Способы обработки и перечень действий с ПДн

4.1.  Банк может осуществлять обработку персональных данных с использованием средств автоматизации, а так же без использования таких средств.

4.2.  Перечень действий с ПДн, которые могут осуществляться Банком при обработке персональных данных субъектов:

-  сбор;

-  систематизация;

-  накопление;

-  хранение;

-  уточнение (обновление, изменение);

-  использование;

-  распространение (в том числе передачу);

-  обезличивание;

-  блокирование;

-  уничтожение.

5.  Субъекты и категории ПДн

5.1.  Банком может осуществляться обработка ПДн следующих категорий субъектов ПДн:

-  Физические лица, состоявшие или состоящие в договорных и иных гражданско-правовых отношениях с Банком;

-  Работники, состоявшие или состоящие в трудовых отношениях с Банком.

5.2.  В Банке должна проводиться классификация персональных данных в соответствии со степенью тяжести последствий потери свойств безопасности ПДн для субъектов ПДн. Рекомендуется выделять следующие категории ПДн:

-  Персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» к специальным категориям персональных данных (далее ИСПДн-С);

-  Персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» к биометрическим персональным данным (далее ИСПДн-Б);

-  Персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным (далее ИСПДн-И);

-  Персональные данные, отнесенные в соответствии с Федеральным законом «О персональных данных» к общедоступным или обезличенным персональным данным (далее ИСПДн-Д);

5.3.  В информационных системах Банка не должна осуществляться обработка ПДн относящихся к:

-  биометрическим персональным данным, специальным категориям ПДн, касающимся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, судимости.

5.4.  Обработка ПДн, указанных в пункте 5.3 настоящего Положения, может осуществляться только в установленных законодательством случаях и по согласованию с Ответственным за безопасность ПДн.

6.  Условия обработки ПДн

6.1.  Банк может осуществлять обработку ПДн с в следующих случаях:

-  обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

-  обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей;

-  обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

-  обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

-  обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;

-  обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

-  обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

-  обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

-  обработка персональных данных необходима для осуществления прав и законных интересов Банка или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

-  обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;

-  обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;

-  осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

-  осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

6.2.  Форма согласия субъекта на обработку его ПДн приведена в

6.3.  Для каждого бизнес-процесса Банка, в рамках которого производится обработка персональных данных, по приведенной форме составляется отдельный шаблон согласия на обработку с указанием целей обработки данных в рамках данного процесса, видов данных и необходимого периода их хранения.

6.4.  Банк вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных (если иное не предусмотрено федеральным законом), на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Банка, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В договоре должны быть определены перечень действий (операций) с ПДн, цели обработки ПДн, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона № 000 «О персональных данных».

6.5.  В случае, если Банк поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Банк. Лицо, осуществляющее обработку ПДн по поручению Банка, несет ответственность перед Банком. Лицо, осуществляющее обработку ПДн по поручению Банка, не обязано получать согласие субъекта на обработку его ПДн.

7.  Обязанности Банка

7.1.  Банк обязан предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ.

7.2.  По требованию субъекта ПДн Банк обязан уточнять обрабатываемые ПДн, блокировать или удалять, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

7.3.  В Банке должен вестись Журнал учета обращений субъектов ПДн, в котором фиксируются запросы субъектов ПДн на получение персональных данных, а также факты предоставления персональных данных по этим запросам. Содержание журнала учета обращений должно периодически проверяться Ответственным за безопасность ПДн;

7.4.  До начала обработки ПДн Банк должен уведомить субъекта ПДн об обработке его ПДн в том случае, если ПДн были получены не от субъекта ПДн (Приложение Б). Банк освобождается от обязанности уведомлять субъекта в случаях, если:

-  ПДн получены Банком на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;

-  ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;

-  Банк осуществляет обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;

-  предоставление субъекту ПДн сведений, предусмотренных Приложением Б нарушает права и законные интересы третьих лиц.

7.5.  Банк, в случае достижения цели обработки ПДн обязан прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка), в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Банком и субъектом персональных данных либо если Банк не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

7.6.  В случае отзыва субъектом ПДн согласия на обработку его ПДн Банк обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Банком и субъектом ПДн либо если Банк не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

7.7.  В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в пунктах 7.5-7.6, Банк осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

8.  Сбор ПДн

8.1.  При сборе ПДн необходимо руководствоваться следующими правилами:

-  ПДн следует получать лично у граждан за исключением случаев получения ПДн из общедоступных источников;

-  в случае если ПДн были получены не субъекта ПДн, то до начала обработки ПДн Банк должен уведомить субъекта об обработке его ПДн. Форма уведомления субъекта приведена в приложении Б;

-  при отсутствии письменного согласия запрещается получать, обрабатывать и приобщать к личному делу сотрудника данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах;

-  не запрашивать информацию о состоянии здоровья сотрудника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения сотрудником трудовой функции.

8.2.  В Банке должны обрабатываться только те ПДн, которые удовлетворяют вышеприведенным правилам их получения. Исключение составляют общедоступные ПДн.

9.  Передача ПДн

9.1.  Передача ПДн возможна в следующих случаях:

-  по договору, направленному на исполнение цели обработки ПДн;

-  передача ПДн в рамках федерального законодательства.

9.2.  При передаче ПДн сотрудниками Банка должны быть соблюдены следующие правила:

-  несанкционированный доступ к ПДн в процессе передачи должен быть исключен;

-  передача ПДн возможна только в том случае, если обеспечивается конфиденциальность передаваемой информации. Если Банк на основании договора поручает обработку ПДн другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности и безопасности ПДн при их передаче;

-  не сообщать ПДн субъекта ПДн третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудник, а также случаях, предусмотренных Трудовым Кодексом Российской Федерации и иными федеральными законами;

-  предупредить лиц, получающих ПДн субъекта ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

9.3.  Передавать ПДн субъекта ПДн представителям субъектов ПДн в порядке, установленным Трудовым Кодексом Российской Федерации и иными федеральными законами, и ограничивать эту информацию только теми ПДн, которые необходимы для выполнения указанными представителями их функций.

9.4.  Не требуется согласие субъекта на передачу его ПДн, если сообщение информации или предоставление документов, содержащих ПДн, предусмотрено законодательством Российской Федерации.

9.5.  Трансграничная передача ПДн (передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) может осуществляться только на основе договорных отношений либо при наличии письменного согласия субъекта ПДн.

10.  Хранение ПДн

10.1.  Хранение ПДн Банка осуществляется в соответствии со следующими требованиями:

-  хранение ПДн должно осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места их хранения;

-  хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

-  запрещается несанкционированное копирование ПДн на отчуждаемые носители информации;

-  при хранении ПДн в ИСПДн должны соблюдаться условия, обеспечивающие конфиденциальность и сохранность ПДн;

-  несанкционированный доступ к ПДн должен быть исключен. Доступ должен быть разрешен только сотрудникам, включенным в перечень должностей сотрудников, допущенных к работе с ПДн.

10.2.  Сотрудники Банка, обладающие правом доступа к ПДн, несут ответственность за хранение ПДн на своих автоматизированных рабочих местах.

11.  Уточнение, блокирование и уничтожение ПДн

11.1.  В случае выявления сотрудником Банка недостоверных ПДн или неправомерных действий с ними, сотрудник информирует о данном факте Ответственного за безопасность ПДн. Ответственный за безопасность ПДн инициирует выполнение действий, описанных в документе «Положение о порядке обработки обращений субъектов ПДн». О выявленных неправомерных действиях с ПДн Ответственный за безопасность ПДн информирует Владельца ИСПДн и действия описанные в «Инструкция о порядке проведения разбирательств по фактам нарушений порядка обработки и защиты персональных данных, приводящих к снижению уровня защищенности персональных данных в .

11.2.  В случае уточнения (изменения) ПДн необходимо известить третьих лиц, которым ранее были переданы неверные или неполные ПДн, обо всех внесенных в них изменениях.

11.3.  Об устранении допущенных нарушений или об уничтожении ПДн требуется уведомить субъекта ПДн или его законного представителя, либо уполномоченный орган по защите прав субъектов ПДн в случае, если соответствующую проверку инициировал указанный орган.

11.4.  ПДн подлежат уничтожению (или обезличиванию) в ИСПДн в 30-ти дневный срок (если иное не оговорено согласием субъекта ПДн) по достижении целей их обработки, либо в случае утраты необходимости в достижении этих целей или отзыва субъектом ПДн согласия на обработку своих ПДн, если иное не предусмотрено федеральным законом.

11.5.  Должен быть определен режим уничтожения ПДн после окончания периода хранения (автоматизированный, ручной).

11.6.  ПДн, уничтожаемые в случае невозможности устранения допущенных нарушений либо в случае отзыва субъектом ПДн согласия на обработку своих ПДн, уничтожаются в ручном режиме.

11.7.  Должны назначаться ответственные за уничтожение ПДн в ручном режиме.

11.8.  Должно обеспечиваться гарантированное уничтожение ПДн, исключающее возможность их восстановления программными или физическими методами.

11.9.  Уничтожение ПДн в ручном режиме должно оформляться Актом об уничтожении ПДн (Приложение Е).

12.  Обеспечение конфиденциальности ПДн

12.1.  Банк и иные третьи лица, обладающие правом доступа к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

12.2.  В Банке должен быть документально оформлен и утвержден Перечень обрабатываемых ПДн.

12.3.  Банк может передавать ПДн своих сотрудников и клиентов на обработку третьим лицам (принимающей стороне), только если это необходимо для достижения целей обработки ПДн и существенным условием договора является обязанность обеспечения третьей стороной конфиденциальности ПДн и безопасности ПДн при их обработке. Типовая форма положений для включения в договор приведена в

12.4.  В том случае, если договор был заключен до вступления в силу ФЗ «О персональных данных», либо условие конфиденциальности ПДн не было прописано по каким-либо причинам, необходимо подписывать дополнительное соглашение о неразглашении ПДн.

12.5.  Передача ПДн третьим лицам без заключенного соглашения, оговаривающего обязанность обеспечения указанными лицами конфиденциальности ПДн и безопасности ПДн при их обработке не допускается.

13.  Мероприятия по обеспечению безопасности ПДн

13.1.  Общие требования

13.1.1.  Для приведения Банка в соответствие с требованиями Федерального закона «О персональных данных», Приказом назначается Комиссия. В состав Комиссии включаются руководители структурных подразделений, отвечающих за отдельные направления работ в рамках обеспечения безопасности персональных данных.

13.1.2.  Комиссия устанавливает категории и объем обрабатываемых ПДн в ИСПДн, формирует акты классификаций для каждой ИСПДн, в которых указывается перечень обрабатываемых ПДн

13.1.3.  В Банке разработана и утверждена «Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных .

13.1.4.  Для проведения работ по выбору и реализации методов и способов защиты ПДн (включая техническое проектирование системы защиты ПДн, внедрение средств защиты ПДн, сопровождение средств защиты ПДн и т. д.) могут привлекаться подрядные организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации.

13.2.  Автоматизированная обработка ПДн

13.2.1.  Обеспечение безопасности ПДн при их обработке в ИСПДн должно осуществляться на всех стадиях жизненного цикла ИСПДн и состоять из согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности ПДн в ИСПДн, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и нормального функционирования ИСПДн в случае реализации угроз.

13.2.2.  Безопасность ПДн при их обработке в ИСПДн обеспечивается с помощью систем защиты ПДн, включающей организационные меры и технические средства защиты информации, а так же используемые в ИСПДн технологии.

13.2.3.  Все ИСПДн Банка подлежат обязательной классификации.

13.2.4.  Классификация ИСПДн проводится Комиссией.

13.2.5.  Классификация ИСПДн должна осуществляться Банком в соответствии с:

-  «Порядком проведения классификации информационных систем персональных данных», утвержденным приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 01.01.2001 г. №55/86/20;

-  Стандартами и рекомендациями Центрального Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (Комплекс БР ИББС).

13.2.6.  Результаты классификации ИСПДн должны быть оформлены соответствующими актами.

13.2.7.  При отнесении автоматизированных банковских систем (АБС) к ИСПДн используется следующий подход:

-  АБС целью создания и использования, которых, в том числе, является обработка персональных данных, должны быть включены в список информационных систем, в которых обрабатываются ПДн.

-  АБС, реализующие банковские платежные технологические процессы, не относятся к ИСПДн.

13.2.8.  Для каждой ИСПДн Банка должны быть определены и документально зафиксированы:

-  цель обработки персональных данных;

-  объем и содержание обрабатываемых персональных данных;

-  перечень действий с персональными данными и способы их обработки.

13.2.9.  Объем и содержание персональных данных, а также перечень действий и способы обработки персональных данных должны соответствовать целям обработки. В том случае, если для выполнения банковского информационного технологического процесса, реализацию которого поддерживает ИСПДн, нет необходимости в обработке определенных персональных данных, эти персональные данные должны быть удалены.

13.2.10.  Защита ПДн при их обработке в ИСПДн от несанкционированного доступа и иных неправомерных действий, должна осуществляться в Банке следующими методами и способами:

-  реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам (включая ПДн), ИСПДн и связанным с ее использованием работам, документам;

-  ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку ПДн, а также хранятся носители информации, содержащих ПДн;

-  разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам (включая ПДн), программным средствам обработки (передачи) и защиты ПДн;

-  регистрация действий пользователей и обслуживающего персонала ИСПДн, мониторинг попыток несанкционированного доступа;

-  учет и хранение съемных носителей информации с ПДн и их обращение, исключающее хищение, подмену и уничтожение;

-  резервирование технических средств, дублирование массивов и носителей ПДн;

-  использование защищенных каналов связи, используемых для передачи ПДн;

-  размещение технических средств, позволяющих осуществлять обработку ПДн, в пределах контролируемой территории;

-  периодический анализ защищенности распределенных ИСПДн, предполагающий применение специализированных программных средств (сканеров безопасности);

-  предотвращение внедрения в ИСПДн вредоносных программ (программ-вирусов) и программных закладок.

13.2.11.  При организации взаимодействия ИСПДн с информационно-телекоммуникационными сетями международного информационного обмена (сетями связи общего пользования) наряду с указанными методами и способами, должны применяться следующие дополнительные методы и способы защиты ПДн от несанкционированного доступа:

-  межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры ИСПДн;

-  обнаружение вторжений в ИСПДн, нарушающих или создающих предпосылки к нарушению установленных требований по обеспечению безопасности ПДн;

-  защита ПДн при их передаче по каналам связи;

-  использование смарт-карт, электронных замков и других носителей информации для надежной идентификации и аутентификации пользователей;

-  использование средств антивирусной защиты;

-  централизованное управление системой защиты ПДн.

13.2.12.  Конкретные методы и средства защиты ПДн в ИСПДн должны определяться на основании нормативно-методических документов ФСТЭК России, ФСБ России и Комплексу БР ИББС Центрального Банка России исходя из класса ИСПДн и актуальных угроз безопасности ПДн.

13.2.13.  В Банке также могут разрабатываться и применяться другие методы защиты информации от несанкционированного доступа, обеспечивающие нейтрализацию угроз безопасности ПДн.

13.2.14.  Все технические средства защиты информации должны быть снабжены инструкциями по эксплуатации (рекомендациями по использованию).

13.2.15.  Должен вестись учет технических средств защиты информации.

13.2.16.  Форма Журнала учета технических средств защиты информации приведена в

13.2.17.  Реализация технических мер защиты должна быть описана в документе «Описание системы защиты ПДн».

13.3.  Обработка ПДн без использования средств автоматизации

13.3.1.  Обработка ПДн, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн (материальных носителей) и установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним доступ.

13.3.2.  Должно обеспечиваться раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях. Так же должно обеспечиваться раздельное хранение материальных носителей ПДн от носителей иной информации.

13.3.3.  Приказом по Банку утверждается перечень мест хранения ПДн, обрабатываемых без использования средств автоматизации.

Из за большого объема этот материал размещен на нескольких страницах: 1 2