В организации БС РФ должен быть определен и документально зафиксирован порядок уничтожения персональных данных (в том числе и материальных носителей персональных данных).
7.10.7. В организации БС РФ должен быть определен и документально зафиксирован порядок обработки обращений субъектов (или их законных представителей) по вопросам обработки их персональных данных.
7.10.8. В организации БС РФ должен быть определен и документально зафиксирован порядок действий в случае запросов Уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных.
7.10.9. В организации БС РФ должны быть определен и документально зафиксирован подход к отнесению АБС к информационным системам персональных данных (ИСПДн).
В организации БС РФ должен быть определен и документально зафиксирован перечень ИСПДн. В перечень ИСПДн должны быть включены, как минимум, АБС, целью создания и использования которых является обработка персональных данных.
АБС, реализующие банковские платежные технологические процессы, не относятся к ИСПДн.
7.10.10. Для каждой ИСПДн организации БС РФ должны быть определены и документально зафиксированы:
- цель обработки персональных данных;
- объем и содержание обрабатываемых персональных данных;
- перечень действий с персональными данными и способы их обработки.
Объем и содержание персональных данных, а также перечень действий и способы обработки персональных данных должны соответствовать целям обработки. В том случае, если для выполнения банковского информационного технологического процесса, реализацию которого поддерживает ИСПДн, нет необходимости в обработке определенных персональных данных, эти персональные данные должны быть удалены.
7.10.11. Банковские информационные технологические процессы, в рамках которых обрабатываются персональные данные в ИСПДн, должны быть документированы в организации БС РФ.
При этом рекомендуется исключать фиксацию на одном материальном носителе и персональных данных, и иных видов информационных активов, а также персональных данных, цели обработки которых заведомо несовместимы.
При обработке различных категорий персональных данных для каждой категории персональных данных рекомендуется использоваться отдельный материальный носитель.
7.10.12. В организации БС РФ должен быть определен и документально зафиксирован перечень (список) работников, осуществляющих обработку персональных данных в ИСПДн либо имеющих доступ к персональным данным.
Допускается указание работников в перечне (списке) на ролевой основе в соответствии с занимаемой должностью на основании требований раздела 7.2 настоящего стандарта.
Возможно существование перечня (списка) в электронном виде, при условии предоставления работникам прав доступа в ИСПДн только на основании распорядительного документа в документально зафиксированном в организации БС РФ порядке.
Доступ работников организации БС РФ к персональным данным и обработка персональных данных работниками организации БС РФ должны осуществляться только для выполнения их должностных обязанностей.
7.10.13. Работники организации БС РФ, осуществляющие обработку персональных данных в ИСПДн, должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также должны быть ознакомлены под роспись со всей совокупностью требований по обработке и обеспечению безопасности персональных данных в части касающейся их должностных обязанностей.
7.10.14. В организации БС РФ должен быть определен и документально зафиксирован порядок доступа работников организации БС РФ и иных лиц в помещения, в которых ведется обработка персональных данных.
7.10.15. В организации БС РФ должен быть определен и документально зафиксирован порядок хранения материальных носителей персональных данных, устанавливающий:
- места хранения материальных носителей персональных данных;
- требования по обеспечению безопасности персональных данных при хранении их носителей;
- работников, ответственных за реализацию требований по обеспечению безопасности персональных данных;
- порядок контроля выполнения требований по обеспечению безопасности персональных данных при хранении материальных носителей персональных данных.
7.11. Общие требования по обеспечению информационной безопасности банковских технологических процессов, в рамках которых обрабатываются персональные данные
7.11.1. СИБ банковского платежного технологического процесса, в рамках которого обрабатываются персональные данные, должна соответствовать требованиям пункта 7.8 настоящего стандарта.
СИБ банковского информационного технологического процесса, в рамках которого обрабатываются персональные данные вне ИСПДн, должна соответствовать требованиям пункта 7.9 настоящего стандарта.
СИБ банковского информационного технологического процесса, в рамках которого обрабатываются персональные данные в ИСПДн, должна соответствовать требованиям пункта 7.9 и 7.11 настоящего стандарта.
7.11.2. Все ИСПДн организаций БС РФ относятся к специальным в соответствии с пунктом 8 Порядка проведения классификации информационных систем персональных данных, утвержденного приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» [7].
7.11.3. В организации БС РФ должны быть определены и документально зафиксированы критерии классификации ИСПДн и порядок проведения классификации ИСПДн.
Классификация ИСПДн должна проводиться, в том числе на основе категорий обрабатываемых в ИСПДн персональных данных.
Результаты классификации ИСПДн должны документально фиксироваться и утверждаться руководством организации.
7.11.4. Требования по обеспечению безопасности персональных данных при их обработке в ИСПДн определяются для каждого класса ИСПДн на основе:
- требований 7-ого и 8-ого разделов настоящего стандарта, с учетом положений рекомендаций в области стандартизации Банка России РС БР ИББС-2.3 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации”, детализирующих указанные требования;
Требования 7-ого и 8-ого разделов настоящего стандарта направлены на нейтрализацию актуальных[11] (применительно к большинству организаций БС РФ) угроз безопасности персональных данных при обработке в ИСПДн организаций БС РФ и образуют базовый набор требований, применимый к большинству организаций БС РФ. С учетом специфики обработки и обеспечения безопасности персональных данных в организациях БС РФ угрозы утечки персональных данных по техническим каналам являются для организаций БС РФ не актуальными.
- оценки рисков нарушения безопасности персональных данных.
Результатом оценки рисков нарушения безопасности персональных данных является Модель угроз безопасности персональных данных, содержащая актуальные для организации БС РФ угрозы ИБ, на основе которой вырабатываются требования, учитывающие особенности обработки персональных данных в конкретной организации БС РФ и расширяющие требования 7-ого и 8-ого разделов настоящего стандарта и (или) положения рекомендаций в области стандартизации Банка России РС БР ИББС-2.3 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации».
8.1.1. Для реализации, эксплуатации, контроля и поддержания на должном уровне СОИБ в организации БС РФ следует реализовать ряд процессов СМИБ, сгруппированных в виде циклической модели Деминга: «планирование – реализация - проверка-совершенствование».
8.1.2. Целью выполнения деятельности в рамках группы процессов «планирование» является запуск «цикла» СМИБ путем определения первоначальных планов построения, ввода в действие и контроля СОИБ, а также определения планов по совершенствованию СОИБ, на основании решений, принятых на этапе «совершенствование». Выполнение деятельности на стадии «планирование» заключается в определении/корректировке области действия СОИБ, формализации подхода к оценке рисков ИБ и распределении ресурсов, проведении оценки рисков ИБ и определении/коррекции планов их обработки. Важно, чтобы все решения по реализации/корректировке СОИБ были приняты руководством организации БС РФ (далее – руководством).
8.1.3. Этап «реализация» выполняется по результатам выполнения этапов «планирование» и(или) «совершенствование» и заключается в выполнении всех планов, связанных с построением, вводом в действие и совершенствованием СОИБ, определенных на этапе «планирование» и(или) реализации решений, определенных на этапе «совершенствование» и не требующих выполнения деятельности по планированию соответствующих улучшений. В том числе, важным является выполнение таких видов деятельности, как организация обучения и повышение осведомленности в области ИБ, реализация обнаружения и реагирования на инциденты ИБ, обеспечение непрерывности бизнеса организации БС РФ.