st-10-xx (1027738), страница 10
Текст из файла (страница 10)
В организации БС РФ должен быть определен и документально зафиксирован перечень (список) работников, осуществляющих обработку персональных данных в ИСПДн либо имеющих доступ к персональным данным.Допускается указание работников в перечне (списке) на ролевой основе в соответствии с занимаемой должностью на основании требований раздела 7.2 настоящегостандарта.Возможно существование перечня (списка) в электронном виде, при условиипредоставления работникам прав доступа в ИСПДн только на основании распорядительного документа в документально зафиксированном в организации БС РФ порядке.Доступ работников организации БС РФ к персональным данным и обработка персональных данных работниками организации БС РФ должны осуществляться толькодля выполнения их должностных обязанностей.7.10.13. Работники организации БС РФ, осуществляющие обработку персональных данных в ИСПДн, должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также должныбыть ознакомлены под роспись со всей совокупностью требований по обработке иобеспечению безопасности персональных данных в части касающейся их должностныхобязанностей.7.10.14.
В организации БС РФ должен быть определен и документально зафиксирован порядок доступа работников организации БС РФ и иных лиц в помещения, вкоторых ведется обработка персональных данных.7.10.15. В организации БС РФ должен быть определен и документально зафиксирован порядок хранения материальных носителей персональных данных, устанавливающий:− места хранения материальных носителей персональных данных;− требования по обеспечению безопасности персональных данных при хранении их носителей;− работников, ответственных за реализацию требований по обеспечениюбезопасности персональных данных;− порядок контроля выполнения требований по обеспечению безопасностиперсональных данных при хранении материальных носителей персональных данных.проект 11.05.2010СТО БР ИББС–1.0–20хх357.10.16.
При использовании в организации БС РФ типовых форм документов,характер информации в которых предполагает или допускает включение в нихперсональных данных, должны соблюдаться требования установленные «Положениемоб особенностях обработки персональных данных, осуществляемой без использованиясредств автоматизации», утвержденным Постановлением Правительства РФ от 15сентября 2008 г. N 687 [6].7.11. Общие требования по обеспечению информационнойбезопасности банковских технологических процессов, в рамкахкоторых обрабатываются персональные данные7.11.1.
СИБ банковского платежного технологического процесса, в рамках которого обрабатываются персональные данные, должна соответствовать требованиям пункта 7.8 настоящего стандарта.СИБ банковского информационного технологического процесса, в рамках которого обрабатываются персональные данные вне ИСПДн, должна соответствовать требованиям пункта 7.9 настоящего стандарта.СИБ банковского информационного технологического процесса, в рамках которого обрабатываются персональные данные в ИСПДн, должна соответствовать требованиям пункта 7.9 и 7.11 настоящего стандарта.7.11.2. Все ИСПДн организаций БС РФ относятся к специальным в соответствиис пунктом 8 Порядка проведения классификации информационных систем персональных данных, утвержденного приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г.
N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» [7].7.11.3. В организации БС РФ должны быть определены и документально зафиксированы критерии классификации ИСПДн и порядок проведения классификацииИСПДн.Классификация ИСПДн должна проводиться, в том числе на основе категорийобрабатываемых в ИСПДн персональных данных.Результаты классификации ИСПДн должны документально фиксироваться и утверждаться руководством организации.7.11.4. Требования по обеспечению безопасности персональных данных при ихобработке в ИСПДн определяются для каждого класса ИСПДн на основе:− требований 7-ого и 8-ого разделов настоящего стандарта, с учетом положений рекомендаций в области стандартизации Банка России РС БР ИББС-2.3 “Обеспечение информационной безопасности организаций банковской системы РоссийскойФедерации.
Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации”, детализирующих указанные требования;Требования 7-ого и 8-ого разделов настоящего стандарта направлены на нейтрализацию актуальных 1 (применительно к большинству организаций БС РФ) угрозбезопасности персональных данных при обработке в ИСПДн организаций БС РФ и об1Актуальными являются те угрозы, риск реализации которых в организации БС РФ является недопустимым.проект 11.05.201036СТО БР ИББС–1.0–20ххразуют базовый набор требований, применимый к большинству организаций БС РФ.
Сучетом специфики обработки и обеспечения безопасности персональных данных в организациях БС РФ угрозы утечки персональных данных по техническим каналам являются для организаций БС РФ не актуальными.− оценки рисков нарушения безопасности персональных данных.Результатом оценки рисков нарушения безопасности персональных данных является Модель угроз безопасности персональных данных, содержащая актуальные дляорганизации БС РФ угрозы ИБ, на основе которой вырабатываются требования, учитывающие особенности обработки персональных данных в конкретной организации БСРФ и расширяющие требования 7-ого и 8-ого разделов настоящего стандарта и (или)положения рекомендаций в области стандартизации Банка России РС БР ИББС-2.3“Обеспечение информационной безопасности организаций банковской системы Российской Федерации.
Требования по обеспечению безопасности персональных данныхв информационных системах персональных данных организаций банковской системыРоссийской Федерации».8. Система менеджмента информационной безопасностиорганизаций банковской системы Российской Федерации8.1. Общие положения8.1.1.
Для реализации, эксплуатации, контроля и поддержания на должномуровне СОИБ в организации БС РФ следует реализовать ряд процессов СМИБ, сгруппированных в виде циклической модели Деминга: «планирование – реализация - проверка-совершенствование».8.1.2.
Целью выполнения деятельности в рамках группы процессов «планирование» является запуск «цикла» СМИБ путем определения первоначальных планов построения, ввода в действие и контроля СОИБ, а также определения планов по совершенствованию СОИБ, на основании решений, принятых на этапе «совершенствование».
Выполнение деятельности на стадии «планирование» заключается в определении/корректировке области действия СОИБ, формализации подхода к оценке рисковИБ и распределении ресурсов, проведении оценки рисков ИБ и определении/коррекциипланов их обработки. Важно, чтобы все решения по реализации/корректировке СОИБбыли приняты руководством организации БС РФ (далее – руководством).8.1.3. Этап «реализация» выполняется по результатам выполнения этапов «планирование» и(или) «совершенствование» и заключается в выполнении всех планов,связанных с построением, вводом в действие и совершенствованием СОИБ, определенных на этапе «планирование» и(или) реализации решений, определенных на этапе«совершенствование» и не требующих выполнения деятельности по планированиюсоответствующих улучшений. В том числе, важным является выполнение таких видовдеятельности, как организация обучения и повышение осведомленности в области ИБ,реализация обнаружения и реагирования на инциденты ИБ, обеспечение непрерывности бизнеса организации БС РФ.Организация БС РФ должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от реализации угроз.
Организация БС РФ должна применять только те защитныемеры, правильность работы которых может быть проверена, при этом организация БСпроект 11.05.2010СТО БР ИББС–1.0–20хх37РФ должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации.8.1.4. Целью выполнения деятельности в рамках группы процессов «проверка»является обеспечение достаточной уверенности в том, что СОИБ, включая защитныемеры, функционирует надлежащим образом и адекватна существующим угрозам ИБ, атакже внутренним и(или) внешним условиям функционирования организации БС РФ,связанным с ИБ. Кроме того, необходимо рассмотреть любые изменения в допущенияхили в области оценки рисков. Указанная деятельность может проводиться в любоевремя и с любой частотой, в зависимости от того, что является подходящим для конкретной ситуации.
На этапе «проверка» необходимо осуществлять мониторинг и контроль используемых защитных мер, периодически выполнять деятельность по самооценке соответствия ИБ организации БС РФ требованиям настоящего стандарта (далее – самооценке ИБ) и проводить аудит ИБ, анализировать функционирование СОИБв целом, в том числе со стороны руководства.Организация БС РФ должна своевременно обнаруживать проблемы, прямо иликосвенно относящиеся к ИБ, потенциально способные повлиять на ее бизнес-цели.Рекомендуется выявлять причинно-следственную связь возможных проблем и строитьна этой основе прогноз их развития.Результат выполнения деятельности на этапе «проверка» является основой длявыполнения деятельности по совершенствованию СОИБ.8.1.5.
Группа процессов «совершенствование» включает в себя деятельность попринятию решений о реализации тактических и (или) стратегических улучшений СОИБ.Указанная деятельность, т.е. переход к этапу «совершенствование», реализуется только тогда, когда выполнение процессов этапа «проверка» дало результат, требующийсовершенствование СОИБ. При этом сама деятельность по совершенствованию СОИБ должна реализовываться в рамках групп процессов «реализация» и при необходимости «планирование». Пример первой ситуации – введение в действие существующего плана обеспечения непрерывности бизнеса, поскольку на стадии «проверка» определена необходимость в этом. Пример второй ситуации – идентификация новой угрозыи последующие обновление оценки рисков на стадии «планирование». При этом важно, чтобы все заинтересованные стороны немедленно извещались о проводимых улучшениях СОИБ и при необходимости проводилось соответствующее обучение.Организация БС РФ должна накапливать, обобщать и использовать как свойопыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.8.1.6.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
