Обратный звонок
Главная \ База знаний \ Особенности защиты персональных данных и информации в некредитных финансовых организациях

Особенности защиты персональных данных и информации в некредитных финансовых организациях

Одним из основных требований Положения №757-П является разработка внутренних документов и реализация технических мер защиты информации на соответствующем уровне информационной инфраструктуры.

Разрабатываемые документы должны:

  1. содержать детальное описание организационных мер защиты информации, соответствующих уровню защиты;
  2. соответствовать требованиям к планированию деятельности, требованиям к системе организации и управления защитой информации, описанным в разделе 8.1 ГОСТ Р 57580.1-2017;
  3. быть утверждены в финансовой организации.

Применение технических мер защиты информации должно сопровождаться описанием порядка их реализации с обязательным указанием:

  1. правил размещения технических мер защиты информации в информационной инфраструктуре;
  2. руководств по применению технических мер защиты информации (включающих руководства по эксплуатации, контролю эксплуатации и использованию по назначению технических мер защиты информации);
  3. состава ролей и прав субъектов доступа, необходимых, чтобы обеспечить применение технических мер защиты информации (включающего эксплуатацию, контроль эксплуатации и использование по назначению мер защиты информации);
  4. параметров настроек технических мер защиты информации и информационной инфраструктуры, предназначенных для размещения технических мер защиты информации (при необходимости).

Названные положения могут быть отражены в документах, разрабатываемых при проектировании подсистем защиты информации или объектов информатизации, а также во внутренних документах, определяющих порядок реализации соответствующего процесса защиты информации.

Положение №757-П содержит обязанности некредитных финансовых организаций по обеспечению защиты информации, перечисленной в пункте 1.1. Напомним, что к указанной информации относится:

  1. информация, содержащаяся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками некредитных финансовых организаций и (или) клиентами некредитных финансовых организаций (далее - электронные сообщения);
  2. информация, необходимая некредитным финансовым организациям для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом;
  3. информация об осуществленных некредитными финансовыми организациями и их клиентами финансовых операциях;
  4. ключевая информация средств криптографической защиты информации, используемой некредитными финансовыми организациями и их клиентами при осуществлении финансовых операций (далее - криптографические ключи).

В свою очередь Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных» употребляет другой термин, отличный от терминов, используемых в Положении №757-П – «персональные данные». Так, в соответствии со ст. 3 Федерального закона от 27.07.2006 №152-ФЗ под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Это сведения, с помощью которых можно идентифицировать конкретного потребителя финансовых услуг, например, Иванова Ивана Ивановича. К указанным сведениям можно отнести фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессию, доходы и др.

Нормативные акты, принятые в целях защиты персональных данных до вступления в силу Положения №757-П предполагают разработку и утверждение следующих блоков документов в некредитной финансовой организации:

А. Основные документы по персональным данным: 

  1. Политика в отношении обработки персональных данных.
  2. Положение об обработке персональных данных.
  3. Приказ о назначении ответственных лиц.
  4. Инструкция ответственного за организацию обработки персональных данных.
  5. Инструкция ответственного обеспечение безопасности персональных данных.

Б. Документы по обработке персональных данных без использования средств автоматизации: 

  1. Положение об обработке данных без использования средств автоматизации.
  2. Приказ о хранении бумажных носителей персональных данных и назначении допущенных лиц.

В. Документы по персональным данным работников: 

  1. Положение о ведении личных дел работников.
  2. Соглашение о неразглашении информации
  3. Согласие на обработку персональных данных работника.
  4. Оговорка в трудовой договор с работниками.

Г. Документы по персональным данным клиентов: 

  1. Согласие на обработку персональных данных клиента
  2. Оговорка в гражданско-правовой договор с клиентом.

Д. Документы для оформления процедур обработки персональных данных: 

  1. Приказ о допуске к обработке данных
  2. Приказ об утверждении перечня данных
  3. Приказ об утверждении перечня информационных систем
  4. Акт определения уровня защищенности данных
  5. Акт оценки потенциального вреда субъектам
  6. Журнал регистрации нарушения и восстановления
  7. Журнал учета проверок государственными органами
  8. Журнал учета средств защиты
  9. Журнал учета передачи персональных данных
  10. Журнал регистрации фактов нарушения и восстановления работоспособности оборудования или ИСПДн
  11. Журнал учета съемных носителей персональных данных
  12. Журнал учета прав доступа
  13. Инструкция по антивирусной защите
  14. Инструкция по резервному копированию и восстановлению
  15. Инструкция по учету и хранению съемных носителей
  16. Инструкция по учету лиц, допущенных к обработке
  17. Инструкция пользователя информационной системы
  18. Инструкция пользователя при нештатной ситуации
  19. Приказ об утверждении перечня помещений
  20. Положение о порядке доступа в помещения
  21. Приказ об определении границ контролируемой зоны

Е. Документы для оформления уничтожения и обезличивания информации, содержащей персональные данные: 

  1. Инструкция по порядку уничтожения и обезличивания персональных данных
  2. Приказ о создании комиссии по уничтожению персональных данных
  3. Акт об уничтожении персональных данных

Ж. Документы по обучению сотрудников: 

  1. Инструкция по проведению инструктажа
  2. Журнал учета прохождения первичного инструктажа работниками допущенными к работе с ПДн в ИСПДн

З. Документы по осуществлению внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных: 

  1. Инструкция по проведению внутреннего контроля
  2. Акт контроля соответствия обработки персональных данных
  3. План проведения периодического внутреннего контроля условий обработки персональных данных в ИСПДн

И. Документы по обработке поступающих обращений субъектов персональных данных: 

  1. Инструкция по рассмотрению запросов субъектов персональных данных
  2. Журнал учета обращений субъектов персональных данных и их законных представителей
  3. Сводная таблица действий Оператора в ответ на обращения субъектов персональных данных, их представителей и запросы Уполномоченного органа по защите прав субъектов персональных данных
  4. Форма уведомления органа по защите прав субъектов персональных данных
  5. Форма уведомления субъекта об отказе внесения изменений в персональные данные субъекта
  6. Форма уведомления субъекта об устранении неправомерных действий с его персональными данными
  7. Форма запроса субъекта персональных данных с  отзывом согласия на обработку персональных данных
  8. Форма запроса субъекта персональных данных на блокирование персональных данных
  9. Форма запроса субъекта персональных данных на уничтожение персональных данных
  10. Форма запроса субъекта персональных данных на уточнение персональных данных
  11. Форма запроса субъекта персональных данных о наличии и ознакомлении с персональными данными
  12. Форма отзыва согласия на обработку персональных данных 

То есть, иначе говоря, до вступления в силу новых требований по защите информации, предусмотренных Положением №757-П и ГОСТ Р 57580.1-2017 в каждой некредитной финансовой организации уже был сформирован комплект документов для защиты персональных данных.

Однако, в связи с вступлением в силу Положения №757-П и ГОСТ Р 57580.1-2017 на который опирается ЦБ при разработке своих требований по защите информации некредитные финансовые организации столкнулись с тем, что в дополнение уже имеющимся локальным актам по персональным данным требуется разработать второй комплект документов, схожий по содержанию с уже имеющимся:

А. Обеспечение информационной безопасности

  1. Рекомендации по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники, в целях противодействия незаконным финансовым операциям
  2. Приказ об определении уровня защиты информации
  3. Концепция информационной безопасности
  4. Об утверждении концепции информационной безопасности
  5. О проведении работ по защите информации
  6. Памятка по информационной безопасности
  7. Должностная инструкция специалиста по защите информации

Б. Перечень защищаемых помещений

  1. Приказ о защищаемых помещениях и помещениях ограниченного доступа
  2. Перечень помещений с ограниченным доступом
  3. Список сотрудников, имеющих доступ в помещения с ограниченным доступом
  4. Технический Паспорт на защищаемое помещение

В. План непрерывной работы автоматизированной системы

  1. План обеспечения непрерывной работы и восстановления работоспособности подсистемы автоматизированной системы в кризисных ситуациях
  2. Средства обеспечения непрерывной работы и восстановления
  3. Обязанности и действия персонала по обеспечению непрерывной работы и восстановлению системы

Г. Доступ к информационным ресурсам

  1. Порядок доступа к информационным, программным и аппаратным ресурсам
  2. Приказ об утверждении перечня информационных ресурсов и порядка доступа к информационным, программным и аппаратным ресурсам
  3. Журнал инструктажа пользователей с правилами доступа к информационным ресурсам
  4. Служебная записка
  5. Заявка на предоставление доступа к информационным, программным и аппаратным ресурсам
  6. Журнал регистрации и учета заявок на предоставление доступа к информационным, программным и аппаратным ресурсам

Д. Инциденты информационной безопасности

  1. Регламент реагирования на инциденты информационной безопасности в
  2. Карточка данных о инциденте информационной безопасности

Е. Организация парольной защиты

  1. Положение по организации парольной защиты
  2. Приказ об утверждении положения по организации парольной защиты

Ж. Организация резервного копирования

  1. Положение о резервном копировании
  2. Положение о резервном копировании
  3. Приказ об утверждении положения о резервном копировании  
  4. Перечень данных¸ подлежащих резервному копированию и хранению
  5. Расписание резервного копирования

З. Организация работы со съемными носителями и мобильными устройствами

  1. Положение о съемных носителях
  2. Положение об использовании мобильных устройств и носителей конфиденциальной информации (персональных данных)
  3. Заявка на предоставление работнику мобильного устройства/носителя информации
  4. Список работников, имеющих право работы с мобильными устройствами вне территории

И. Система антивирусного контроля

  1. Положение об антивирусном контроле
  2. Приказ об утверждении положения об антивирусном контроле
  3. Инструкция пользователя по антивирусной защите

К. Использование программного обеспечения

  1. Положение об использовании программного обеспечения
  2. Приказ об утверждении положения об использовании программного обеспечения
  3. Перечень программного обеспечения, разрешенного для использования на компьютерах
  4. Паспорт автоматизированного рабочего места 

Л. Использование сети Интернет и электронной почты

  1. Положение об использовании сети Интернет и электронной почты
  2. Приказ об использовании сети интернет и электронной почты
  3. Список адресов электронной почты сотрудников
  4. Типичные угрозы при работе с сетью Интернет и электронной почтой
  5. Общие меры предосторожности при работе с сетью Интернет и электронной почтой

М. Разграничение доступа к информационным ресурсам

  1. Приказ об утверждении перечня информационных ресурсов и порядка доступа к информационным, программным и аппаратным ресурсам
  2. Перечень информационных ресурсов 

Таким образом, в силу того, что Положение №757-П содержит более общее или можно сказать расширительное определение термина «защищаемая информация» в отличие от термина «персональные данные» некредитным финансовым организациям приходится разрабатывать документы во исполнение законодательства о персональных данных и во исполнение Положение №757-П, что создает дополнительные трудозатраты для специалистов по защите информации и требует от них вести многочисленные журналы и отчеты схожие по содержанию.

Важно также отметить, что надзор за соблюдением требованием по защите персональных данных занимается Роскомнадзор, а требований по защите информации по Положению №757-П Банк России. А, следовательно, для одного ведомства должен один комплект документов, а для второго другой.

Представляется целесообразным, чтобы Роскомнадзор и Банк России разработали единый чек-лист для самопроверки для некредитных финансовых организаций.

Автор: Харисов Игорь Фанзилович, руководитель компании Ю-ПИТЕР КОНСАЛТИНГ.  Телефон  +7(952) 045-74-83 Почта info@law115.ru

Теги информационная безопасность
Комментарии

Комментариев пока нет

Яндекс.Метрика ;
Этот сайт использует файлы cookie и метаданные. Продолжая просматривать его, вы соглашаетесь на использование нами файлов cookie и метаданных в соответствии с Политикой конфиденциальности.
Продолжить