Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".
Групповой показатель M9 "Общие требования по обработке
персональных данных в организации БС РФ"
--------------------T---------------------------------------------T----------------T--------------------------------------------T--------------T--------------¬
¦ Обозначение ¦ Частный показатель ИБ ¦ Обязательность ¦ Оценка частного ¦ Коэффициент ¦ Вычисленное ¦
¦ частного ¦ ¦ выполнения ¦ показателя ИБ ¦ значимости ¦ значение ¦
¦ показателя ¦ ¦ ¦ ¦ частного ¦ показателя ¦
¦ ИБ ¦ ¦ ¦ ¦ показателя ¦ ИБ <**> ¦
¦ ¦ ¦ ¦ ¦ ИБ <*> ¦ ¦
¦ ¦ ¦ +------T-------T-------T-------T-----T-------+ ¦ ¦
¦ ¦ ¦ ¦ 0 ¦ 0,25 ¦ 0,5 ¦ 0,75 ¦ 1 ¦ н/о ¦ ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.1 ¦ Определены ли в организации, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксированы ли документально и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ утверждены ли руководством организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ цели обработки персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.2 ¦ Определена ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ необходимость уведомления ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ Уполномоченного органа по защите прав ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ субъектов персональных данных об ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ обработке персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.3 ¦ Определены ли в организации для каждой ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ цели обработки персональных данных, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксированы ли документально и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ утверждены ли руководством ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ организации: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - объем и содержание персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данных; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - сроки обработки, в том числе сроки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ хранения персональных данных; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - необходимость получения согласия ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ субъектов персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.4 ¦ Проводится ли в организации ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ классификация персональных данных в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ соответствии со степенью тяжести ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ последствий потери свойств ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ безопасности персональных данных для ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ субъекта персональных данных? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.5 ¦ Выделяются ли при проведении ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ классификации персональных данных ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ следующие категории: ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - персональные данные, отнесенные в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ соответствии с Федеральным законом "О ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных" к специальным ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ категориям персональных данных; ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - персональные данные, отнесенные в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ соответствии с Федеральным законом "О ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных" к биометрическим ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональным данным; ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - персональные данные, которые не ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ могут быть отнесены к специальным ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ категориям персональных данных, к ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ биометрическим персональным данным, ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ к общедоступным или обезличенным ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональным данным; ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - персональные данные, отнесенные в ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ соответствии с Федеральным законом ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ "О персональных данных" к ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ общедоступным или обезличенным ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональным данным? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.6 ¦ Осуществляется ли организацией ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ передача персональных данных третьему ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ лицу с согласия субъекта персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ В том случае, если организация ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ поручает обработку персональных данных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ третьему лицу на основании договора - ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ включается ли в такой договор ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ обязанность обеспечения третьим лицом ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ конфиденциальности персональных данных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ и безопасности персональных данных при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ их обработке? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.7 ¦ Прекращается ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ обработка персональных данных и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ уничтожаются ли собранные персональные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данные в следующих случаях и в сроки, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ установленные законодательством РФ: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - по достижении целей обработки или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ при утрате необходимости в их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ достижении; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - по требованию субъекта персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данных или Уполномоченного органа по ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ защите прав субъектов персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данных - если персональные данные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ являются неполными, устаревшими, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ недостоверными, незаконно полученными ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ или не являются необходимыми для ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ заявленной цели обработки; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - при отзыве субъектом персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данных согласия на обработку своих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных, если такое ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ согласие требуется в соответствии с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ законодательством РФ; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - при невозможности устранения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ оператором допущенных нарушений при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ обработке персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ Примечание: если иное установлено ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ законодательством РФ, показателю ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ присваивается оценка "н/о". ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.8 ¦ Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксирован ли документально порядок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ уничтожения персональных данных (в том ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ числе и материальных носителей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.9 ¦ Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксирован ли документально порядок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ обработки обращений субъектов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных (или их законных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ представителей) по вопросам обработки ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ их персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.10 ¦ Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксирован ли документально порядок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ действий в случае запросов ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ Уполномоченного органа по защите прав ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ субъектов персональных данных или иных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ надзорных органов, осуществляющих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ контроль и надзор в области ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.11 ¦ Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксирован ли документально подход к ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ отнесению АБС к информационным ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ системам персональных данных (ИСПДн)? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.12 ¦ Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксирован ли документально перечень ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ ИСПДн, в который включены как минимум ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ АБС, целью создания и использования ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ которых является обработка ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных и не включены АБС, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ реализующие банковские платежные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ технологические процессы? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.13 ¦ Определены ли для каждой ИСПДн ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ организации и зафиксированы ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ документально: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - цель обработки персональных данных; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - объем и содержание обрабатываемых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - перечень действий с персональными ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данными и способы их обработки? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.14 ¦ Соответствуют ли целям обработки объем ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ и содержание персональных данных в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ ИСПДн, а также перечень действий и ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ способы обработки персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.15 ¦ Документированы ли в организации ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ банковские информационные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ технологические процессы, в рамках ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ которых обрабатываются персональные ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данные в ИСПДн? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.16 ¦ Исключена ли при обработке ПДн в ИСПДн ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ фиксация на одном материальном ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ носителе и персональных данных, и иных ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ видов информационных активов, а также ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных, цели обработки ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ которых заведомо несовместимы? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.17 ¦ Используется ли при обработке ПДн в ¦ рекомендуемый ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ ИСПДн для каждой категории ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных отдельный ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ материальный носитель? ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ Примечание: если в ИСПДн ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ обрабатываются ПДн только одной ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ категории, показателю присваивается ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ оценка "н/о". ¦ ¦ // ¦ //// ¦ //// ¦ //// ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.18 ¦ Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксирован ли документально перечень ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ (список) работников, осуществляющих ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ обработку персональных данных в ИСПДн ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ либо имеющих доступ к персональным ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данным? Допускается указание ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ работников в перечне (списке) на ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ ролевой основе в соответствии с ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ занимаемой должностью на основании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ требований раздела 7.2 ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ СТО БР ИББС-1.0. Возможно ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ существование перечня (списка) в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ электронном виде при условии ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ предоставления работникам прав ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ доступа в ИСПДн только на основании ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ распорядительного документа в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ документально зафиксированном в ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ организации порядке. ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.19 ¦ Осуществляется ли доступ работников ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ организации к персональным данным ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ (обработка персональных данных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ работниками) только для выполнения их ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ должностных обязанностей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.20 ¦ Проинформированы ли работники ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ организации, осуществляющие обработку ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных в ИСПДн, о факте ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ обработки ими персональных данных, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ категориях обрабатываемых персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данных, а также ознакомлены ли ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ работники под роспись со всей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ совокупностью требований по обработке ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ и обеспечению безопасности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных в части, ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ касающейся их должностных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ обязанностей? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.21 ¦ Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксирован ли документально порядок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ доступа работников организации или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ иных лиц в помещения, в которых ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ ведется обработка персональных данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.22 ¦ Определен ли в организации и ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ зафиксирован ли документально порядок ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ хранения материальных носителей ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных, устанавливающий: ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - места хранения материальных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ носителей персональных данных; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - требования по обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ безопасности персональных данных при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ хранении их носителей; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - работников, ответственных за ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ реализацию требований по обеспечению ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ безопасности персональных данных; ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ - порядок контроля выполнения ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ требований по обеспечению безопасности ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных при хранении ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ материальных носителей персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ M9.23 ¦ Соблюдаются ли требования, ¦ обязательный ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ установленные "Положением об ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ особенностях обработки персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данных, осуществляемой без ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ использования средств автоматизации", ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ утвержденным Постановлением ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ Правительства РФ от 15 сентября 2008 ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ г. N 687, при обработке в организации ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ персональных данных на бумажных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ носителях, в частности, при ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ использовании в организации БС РФ ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ типовых форм документов, характер ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ информации в которых предполагает или ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ допускает включение в них персональных ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
¦ ¦ данных? ¦ ¦ ¦ ¦ ¦ ¦ ¦ ¦ /////////// ¦ ¦
+-------------------+---------------------------------------------+----------------+------+-------+-------+-------+-----+-------+--------------+--------------+
¦ Итоговая оценка группового показателя M9///////////////////////////////////////////////////////////////// ¦ ¦
L----------------------------------------------------------------------------------------------------------------------------------------------+---------------
--------------------------------
<*> Графа не заполняется.
<**> Вычисленное значение показателя ИБ равно оценке
соответствующего частного показателя (столбцы 4 - 9 таблицы).
|
Фрагмент документа "СТО БР ИББС-1.2-2010 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ".