Одним из основных требований Положения №757-П является разработка внутренних документов и реализация технических мер защиты информации на соответствующем уровне информационной инфраструктуры.
Разрабатываемые документы должны:
- содержать детальное описание организационных мер защиты информации, соответствующих уровню защиты;
- соответствовать требованиям к планированию деятельности, требованиям к системе организации и управления защитой информации, описанным в разделе 8.1 ГОСТ Р 57580.1-2017;
- быть утверждены в финансовой организации.
Применение технических мер защиты информации должно сопровождаться описанием порядка их реализации с обязательным указанием:
- правил размещения технических мер защиты информации в информационной инфраструктуре;
- руководств по применению технических мер защиты информации (включающих руководства по эксплуатации, контролю эксплуатации и использованию по назначению технических мер защиты информации);
- состава ролей и прав субъектов доступа, необходимых, чтобы обеспечить применение технических мер защиты информации (включающего эксплуатацию, контроль эксплуатации и использование по назначению мер защиты информации);
- параметров настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации (при необходимости).
Названные положения могут быть отражены в документах, разрабатываемых при проектировании подсистем защиты информации или объектов информатизации, а также во внутренних документах, определяющих порядок реализации соответствующего процесса защиты информации.
Положение №757-П содержит обязанности некредитных финансовых организаций по обеспечению защиты информации, перечисленной в пункте 1.1. Напомним, что к указанной информации относится:
- информация, содержащаяся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками некредитных финансовых организаций и (или) клиентами некредитных финансовых организаций (далее - электронные сообщения);
- информация, необходимая некредитным финансовым организациям для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом;
- информация об осуществленных некредитными финансовыми организациями и их клиентами финансовых операциях;
- ключевая информация средств криптографической защиты информации, используемой некредитными финансовыми организациями и их клиентами при осуществлении финансовых операций (далее - криптографические ключи).
В свою очередь Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных» употребляет другой термин, отличный от терминов, используемых в Положении №757-П – «персональные данные». Так, в соответствии со ст. 3 Федерального закона от 27.07.2006 №152-ФЗ под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Это сведения, с помощью которых можно идентифицировать конкретного потребителя финансовых услуг, например, Иванова Ивана Ивановича. К указанным сведениям можно отнести фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы и др.
Нормативные акты, принятые в целях защиты персональных данных до вступления в силу Положения №757-П предполагают разработку и утверждение следующих блоков документов в некредитной финансовой организации:
А. Основные документы по персональным данным:
- Политика в отношении обработки персональных данных.
- Положение об обработке персональных данных.
- Приказ о назначении ответственных лиц.
- Инструкция ответственного за организацию обработки персональных данных.
- Инструкция ответственного обеспечение безопасности персональных данных.
Б. Документы по обработке персональных данных без использования средств автоматизации:
- Положение об обработке данных без использования средств автоматизации.
- Приказ о хранении бумажных носителей персональных данных и назначении допущенных лиц.
В. Документы по персональным данным работников:
- Положение о ведении личных дел работников.
- Соглашение о неразглашении информации
- Согласие на обработку персональных данных работника.
- Оговорка в трудовой договор с работниками.
Г. Документы по персональным данным клиентов:
- Согласие на обработку персональных данных клиента
- Оговорка в гражданско-правовой договор с клиентом.
Д. Документы для оформления процедур обработки персональных данных:
- Приказ о допуске к обработке данных
- Приказ об утверждении перечня данных
- Приказ об утверждении перечня информационных систем
- Акт определения уровня защищенности данных
- Акт оценки потенциального вреда субъектам
- Журнал регистрации нарушения и восстановления
- Журнал учета проверок государственными органами
- Журнал учета средств защиты
- Журнал учета передачи персональных данных
- Журнал регистрации фактов нарушения и восстановления работоспособности оборудования или ИСПДн
- Журнал учета съемных носителей персональных данных
- Журнал учета прав доступа
- Инструкция по антивирусной защите
- Инструкция по резервному копированию и восстановлению
- Инструкция по учету и хранению съемных носителей
- Инструкция по учету лиц, допущенных к обработке
- Инструкция пользователя информационной системы
- Инструкция пользователя при нештатной ситуации
- Приказ об утверждении перечня помещений
- Положение о порядке доступа в помещения
- Приказ об определении границ контролируемой зоны
Е. Документы для оформления уничтожения и обезличивания информации, содержащей персональные данные:
- Инструкция по порядку уничтожения и обезличивания персональных данных
- Приказ о создании комиссии по уничтожению персональных данных
- Акт об уничтожении персональных данных
Ж. Документы по обучению сотрудников:
- Инструкция по проведению инструктажа
- Журнал учета прохождения первичного инструктажа работниками допущенными к работе с ПДн в ИСПДн
З. Документы по осуществлению внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных:
- Инструкция по проведению внутреннего контроля
- Акт контроля соответствия обработки персональных данных
- План проведения периодического внутреннего контроля условий обработки персональных данных в ИСПДн
И. Документы по обработке поступающих обращений субъектов персональных данных:
- Инструкция по рассмотрению запросов субъектов персональных данных
- Журнал учета обращений субъектов персональных данных и их законных представителей
- Сводная таблица действий Оператора в ответ на обращения субъектов персональных данных, их представителей и запросы Уполномоченного органа по защите прав субъектов персональных данных
- Форма уведомления органа по защите прав субъектов персональных данных
- Форма уведомления субъекта об отказе внесения изменений в персональные данные субъекта
- Форма уведомления субъекта об устранении неправомерных действий с его персональными данными
- Форма запроса субъекта персональных данных с отзывом согласия на обработку персональных данных
- Форма запроса субъекта персональных данных на блокирование персональных данных
- Форма запроса субъекта персональных данных на уничтожение персональных данных
- Форма запроса субъекта персональных данных на уточнение персональных данных
- Форма запроса субъекта персональных данных о наличии и ознакомлении с персональными данными
- Форма отзыва согласия на обработку персональных данных
То есть, иначе говоря, до вступления в силу новых требований по защите информации, предусмотренных Положением №757-П и ГОСТ Р 57580.1-2017 в каждой некредитной финансовой организации уже был сформирован комплект документов для защиты персональных данных.
Однако, в связи с вступлением в силу Положения №757-П и ГОСТ Р 57580.1-2017 на который опирается ЦБ при разработке своих требований по защите информации некредитные финансовые организации столкнулись с тем, что в дополнение уже имеющимся локальным актам по персональным данным требуется разработать второй комплект документов, схожий по содержанию с уже имеющимся:
А. Обеспечение информационной безопасности
- Рекомендации по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники, в целях противодействия незаконным финансовым операциям
- Приказ об определении уровня защиты информации
- Концепция информационной безопасности
- Об утверждении концепции информационной безопасности
- О проведении работ по защите информации
- Памятка по информационной безопасности
- Должностная инструкция специалиста по защите информации
Б. Перечень защищаемых помещений
- Приказ о защищаемых помещениях и помещениях ограниченного доступа
- Перечень помещений с ограниченным доступом
- Список сотрудников, имеющих доступ в помещения с ограниченным доступом
- Технический Паспорт на защищаемое помещение
В. План непрерывной работы автоматизированной системы
- План обеспечения непрерывной работы и восстановления работоспособности подсистемы автоматизированной системы в кризисных ситуациях
- Средства обеспечения непрерывной работы и восстановления
- Обязанности и действия персонала по обеспечению непрерывной работы и восстановлению системы
Г. Доступ к информационным ресурсам
- Порядок доступа к информационным, программным и аппаратным ресурсам
- Приказ об утверждении перечня информационных ресурсов и порядка доступа к информационным, программным и аппаратным ресурсам
- Журнал инструктажа пользователей с правилами доступа к информационным ресурсам
- Служебная записка
- Заявка на предоставление доступа к информационным, программным и аппаратным ресурсам
- Журнал регистрации и учета заявок на предоставление доступа к информационным, программным и аппаратным ресурсам
Д. Инциденты информационной безопасности
- Регламент реагирования на инциденты информационной безопасности в
- Карточка данных о инциденте информационной безопасности
Е. Организация парольной защиты
- Положение по организации парольной защиты
- Приказ об утверждении положения по организации парольной защиты
Ж. Организация резервного копирования
- Положение о резервном копировании
- Положение о резервном копировании
- Приказ об утверждении положения о резервном копировании
- Перечень данных¸ подлежащих резервному копированию и хранению
- Расписание резервного копирования
З. Организация работы со съемными носителями и мобильными устройствами
- Положение о съемных носителях
- Положение об использовании мобильных устройств и носителей конфиденциальной информации (персональных данных)
- Заявка на предоставление работнику мобильного устройства/носителя информации
- Список работников, имеющих право работы с мобильными устройствами вне территории
И. Система антивирусного контроля
- Положение об антивирусном контроле
- Приказ об утверждении положения об антивирусном контроле
- Инструкция пользователя по антивирусной защите
К. Использование программного обеспечения
- Положение об использовании программного обеспечения
- Приказ об утверждении положения об использовании программного обеспечения
- Перечень программного обеспечения, разрешенного для использования на компьютерах
- Паспорт автоматизированного рабочего места
Л. Использование сети Интернет и электронной почты
- Положение об использовании сети Интернет и электронной почты
- Приказ об использовании сети интернет и электронной почты
- Список адресов электронной почты сотрудников
- Типичные угрозы при работе с сетью Интернет и электронной почтой
- Общие меры предосторожности при работе с сетью Интернет и электронной почтой
М. Разграничение доступа к информационным ресурсам
- Приказ об утверждении перечня информационных ресурсов и порядка доступа к информационным, программным и аппаратным ресурсам
- Перечень информационных ресурсов
Таким образом, в силу того, что Положение №757-П содержит более общее или можно сказать расширительное определение термина «защищаемая информация» в отличие от термина «персональные данные» некредитным финансовым организациям приходится разрабатывать документы во исполнение законодательства о персональных данных и во исполнение Положение №757-П, что создает дополнительные трудозатраты для специалистов по защите информации и требует от них вести многочисленные журналы и отчеты схожие по содержанию.
Важно также отметить, что надзор за соблюдением требованием по защите персональных данных занимается Роскомнадзор, а требований по защите информации по Положению №757-П Банк России. А, следовательно, для одного ведомства должен один комплект документов, а для второго другой.
Представляется целесообразным, чтобы Роскомнадзор и Банк России разработали единый чек-лист для самопроверки для некредитных финансовых организаций.
Автор: Харисов Игорь Фанзилович, руководитель компании Ю-ПИТЕР КОНСАЛТИНГ. Телефон +7(952) 045-74-83 Почта info@law115.ru
Комментариев пока нет