Инструкция о порядке обеспечения конфиденциальности



Скачать 225.59 Kb.
Дата09.08.2019
Размер225.59 Kb.
ТипПротокол


Утверждено Правлением

БАНК «КУРГАН» ПАО

Протокол № 55

от "_07_" сентября 2016 г.

Председатель Правления

___________ Д.А.Мухин



ПОЛОЖЕНИЕ
по защите персональных данных в БАНК «КУРГАН» ПАО

Оглавление


1. Общие положения 3

2. Порядок обеспечения безопасности при обработке персональных данных, осуществляемой без использования средств автоматизации 5

3. Порядок обеспечения безопасности при обработке персональных данных, осуществляемой с использованием средств автоматизации 6

4. Порядок учета, хранения и обращения со съемными носителями персональных данных, твердыми копиями и их утилизации 7

5. Контроль изменений в составе и структуре ИСПДн 8

6. Защита от несанкционированного физического доступа к элементам ИСПДн 9

7. Резервирование ПДн 10

8. Контроль за обеспечением необходимого уровня защищенности ПДн 10

9. Реагирование на нештатные ситуации 11

10. Контроль лояльности персонала 12

11. Организация работы с носителями ПДн 12

Приложение 1 14



Приложение 2 15



1. Общие положения


Настоящее Положение устанавливает применяемые в БАНК «КУРГАН» ПАО (далее - Банк) способы обеспечения безопасности при сборе, записи, систематизации, накоплении, хранении, уточнении (обновление, изменение), извлечении, использовании, передачи (распространение, предоставление, доступ), блокировании, удалении, уничтожение персональных данных с целью соблюдения конфиденциальности сведений, содержащих персональные данные работников и Клиентов Банка.

    1. Настоящее Положение разработано на основании Конституции Российской Федерации, Трудового кодекса Российской Федерации, Федерального закона от 19.12.2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" и от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" и иных нормативных правовых актов Российской Федерации.

    2. В соответствии с законодательством РФ под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

    3. Требование обеспечения конфиденциальности при обработке персональных данных означает обязательное для соблюдения должностными лицами Банка, допущенными к обработке персональных данных, иными получившими доступ к персональным данным лицами требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

    4. Обеспечение конфиденциальности персональных данных не требуется в случае:

      • обезличивания персональных данных;

      • для общедоступных персональных данных.

    1. Перечень персональных данных и ответственных за хранение и обработку персональных данных указаны в Приказе № 65 от 14 июля 2016 г. Приложении 2 и Приложении 1 соответственно. Обработка и хранение персональных данных лицами, не указанными в данном приказе запрещается.

    2. В целях обеспечения требований соблюдения конфиденциальности и безопасности при обработке персональных данных Банк предоставляет должностным лицам, работающим с персональными данными, необходимые условия для выполнения указанных требований:

      • знакомит работника под роспись с требованиями «Политики в отношении обработки персональных данных БАНК «КУРГАН» ПАО», с настоящим Положением по защите персональных данных (далее - Положение), с должностной инструкцией и иными внутренними нормативно-распорядительными актами по Банку в сфере обеспечения конфиденциальности и безопасности персональных данных, а также другой информации ограниченного доступа;

      • предоставляет хранилища для документов, средства для доступа к информационным ресурсам (ключи, пароли и т.п.);

      • обучает правилам эксплуатации средств защиты информации;

      • проводит иные необходимые мероприятия.

    1. Должностным лицам Банка, работающим с персональными данными, запрещается сообщать их устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью.

Без согласования с руководителем структурного подразделения формирование и хранение баз данных (картотек, файловых архивов и др.), содержащих информацию ограниченного доступа, запрещается.

    1. Должностные лица Банка, работающие с персональными данными, обязаны использовать информацию о персональных данных исключительно для целей, связанных с выполнением своих трудовых обязанностей.

    2. При прекращении выполнения трудовой функции, связанной с обработкой персональных данных, все носители информации, содержащие персональные данные (оригиналы и копии документов, машинные и бумажные носители и пр.), которые находились в распоряжении должностного лица в связи с выполнением должностных обязанностей, данный работник должен передать своему непосредственному руководителю.

    3. Передача персональных данных третьим лицам допускается только в случаях, установленных законодательством РФ, в соответствии с «Политикой в отношении обработки персональных», с настоящим Положением, «Правилами обработки ПДн», должностными инструкциями и иными локальными нормативными актами Банка.

Передача персональных данных осуществляется ответственным за обработку персональных данных должностным лицом Банка на основании письменного или устного поручения руководителя структурного подразделения.

    1. Передача сведений и документов, содержащих персональные данные, оформляется путем составления акта по установленной настоящим Положением форме (Приложение № 1).

    2. Должностное лицо, предоставившее персональные данные третьим лицам, направляет письменное уведомление субъекту персональных данных о факте передачи его данных третьим лицам, за исключением случаев, установленных законодательством.

    3. Запрещается передача персональных данных по телефону, факсу, электронной почте за исключением случаев, установленных законодательством.

Ответы на запросы граждан и организаций даются в том объеме, который позволяет не разглашать в ответах персональные данные, за исключением данных, содержащихся в материалах заявителя или опубликованных в общедоступных источниках.

    1. Должностные лица Банка, работающие с персональными данными, обязаны немедленно сообщать своему непосредственному руководителю и (или) Специалисту по обеспечению информационной безопасности обо всех ставших им известными фактах получения третьими лицами несанкционированного доступа либо попытки получения доступа к персональным данным, об утрате или недостаче носителей информации, содержащих персональные данные, удостоверений, пропусков, ключей от сейфов (хранилищ), личных печатей, электронных ключей и других фактах, которые могут привести к несанкционированному доступу к персональным данным, а также о причинах и условиях возможной утечки этих сведений.

    2. Должностные лица, осуществляющие обработку персональных данных, за невыполнение требований конфиденциальности, защиты персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.

    3. Отсутствие контроля со стороны Банка за надлежащим исполнением работником своих обязанностей в области обеспечения конфиденциальности и безопасности персональных данных не освобождает работника от таких обязанностей и предусмотренной законодательством РФ ответственности.



2. Порядок обеспечения безопасности при обработке персональных данных, осуществляемой без использования средств автоматизации


2.1 Обработка персональных данных, в том числе содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такая обработка осуществляется при непосредственном участии человека.

2.2 Руководитель структурного подразделения, осуществляющего обработку персональных данных без использования средств автоматизации:



      • определяет места хранения персональных данных (материальных носителей);

      • осуществляет контроль наличия в структурном подразделении условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;

      • информирует лиц, осуществляющих обработку персональных данных без использования средств автоматизации, о перечне обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;

      • организует раздельное, т.е. не допускающее смешение, хранение материальных носителей персональных данных (документов, дисков, дискет, USB флеш-накопителей, пр.), обработка которых осуществляется в различных целях.

      1. Специалист по обеспечению информационной безопасности, являясь ответственным за организацию обработки персональных данных осуществляет:

      • проверку соответствия обработки персональных данных, внутренним нормативно-распорядительным документа по Банку;

      • расследования при инцидентах информационной безопасности;

      • консультации и обучение сотрудников Банка правилам, обработки ПДн;

      • учёт мест хранения ПДн и сотрудников, обрабатывающих ПДн;

      • общую организацию работ по защите ПДн и другой информации ограниченного доступа.

2.3 При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

2.4 При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, руководитель структурного подразделения должен обеспечить раздельную обработку персональных данных, исключающую одновременное копирование иных персональных данных, не подлежащих распространению и использованию.

2.5 Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, должно производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

2.6 Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.



3. Порядок обеспечения безопасности при обработке персональных данных, осуществляемой с использованием средств автоматизации


3.1 Обработка персональных данных с использованием средств автоматизации означает совершение действий (операций) с такими данными с помощью объектов вычислительной техники в Корпоративной компьютерной сети Банка (далее - ККС).

Безопасность персональных данных при их обработке в ККС обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации, а также используемые в ККС информационные технологии.

3.2 Технические и программные средства защиты информации должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.

3.3 Допуск лиц к обработке персональных данных с использованием средств автоматизации осуществляется только после ознакомления с «Положением о порядке обращения с информацией ограниченного пользования» и подписания «Обязательства о неразглашении защищаемой информации».

Работа с персональными данными осуществляется в соответствии с «Политикой в отношении обработки персональных данных», данным положением, «Правилами работы с персональными данными», «Инструкцией пользователя по соблюдению режима информационной безопасности», должностными инструкциями и другими нормативными документами по банку.

3.4 Работа с персональными данными должна быть организована таким образом, чтобы обеспечивалась сохранность носителей персональных данных и средств защиты информации, а также исключалась возможность неконтролируемого пребывания в этих помещениях посторонних лиц.

3.5 Компьютеры, через которые сотрудники получают доступ к базам с персональными данными, для каждого пользователя должны быть защищены индивидуальными паролями доступа, состоящими из 6 и более символов. Работа на компьютерах без паролей доступа, или под чужими или общими (одинаковыми) паролями, запрещается. Запрещается хранить пароли в свободном доступе.

3.6 Пересылка персональных данных без использования специальных средств защиты по общедоступным сетям связи, в том числе Интернет, запрещается.

3.7 При обработке персональных данных пользователями должно быть обеспечено:


      • постоянное использование антивирусного обеспечения для обнаружения зараженных файлов и незамедлительное восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

      • недопущение несанкционированных выноса из помещений, установки, подключения оборудования, а также удаления, инсталляции или настройки программного обеспечения.

3.8 При обработке персональных данных разработчиками и администраторами систем должны обеспечиваться:

      • обучение лиц, использующих средства защиты информации, применяемые на рабочей станции, правилам работы с ними;

      • учет лиц, допущенных к работе с персональными данными, прав и паролей доступа;

      • учет применяемых средств защиты информации, эксплуатационной и технической документации к ним;

      • контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

      • описание системы защиты персональных данных.



4. Порядок учета, хранения и обращения со съемными носителями персональных данных, твердыми копиями и их утилизации

4.1 Все находящиеся на хранении и в обращении в Банке электронно-оптические носители (жёсткие диски, CD/DVD диски), содержащие персональные данные, подлежат учёту. Каждый съемный носитель с записанными на нем персональными данными должен иметь этикетку, на которой указывается его уникальный учетный номер или серийный номер при наличии.

4.2 Общий учет носителей персональных данных осуществляет специалист по обеспечению ИБ. В случае записи архивной копии на носитель, учёт ведёт ответственный сотрудник за формирование резервной копии.

Работники Банка получают учтенный съемный носитель от руководителя подразделения для выполнения работ на конкретный срок.

При получении делаются соответствующие записи в журнале персонального учета съемных носителей персональных данных (далее - журнал учета), который ведется в структурном подразделении Банка, которое осуществляет работу со съемными носителями персональных данных.

При записи архивной копии на CD/DVD диск, сотрудники убирают его в хранилище, о чем делается соответствующая запись в журнале учета.

4.3 При работе со съемными носителями, содержащими персональные данные, запрещается:


      • хранить электронно-оптические носители с персональными данными вместе с носителями открытой информации, на рабочих столах, либо оставлять их без присмотра или передавать на хранение другим лицам;

      • выносить электронно-оптические носители с персональными данными из служебных помещений для работы с ними на дому, в гостиницах и т. д.

4.4 При отправке или передаче персональных данных адресатам на электронно-оптические носители записываются только предназначенные адресатам данные. Отправка персональных данных адресатам на электронно-оптических носителях осуществляется в порядке, установленном для документов для служебного пользования. Вынос электронно-оптических носителей персональных данных для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения Банка.

4.5 О фактах утраты электронно-оптических носителей, бумажных носителей, содержащих персональные данные, либо разглашения содержащихся в них сведений должно быть немедленно сообщено специалисту по обеспечению ИБ и руководителю структурного подразделения.

На утраченные носители составляется акт. Соответствующие отметки вносятся в журналы учета.

4.6 Электронно-оптические носители персональных данных, пришедшие в негодность или отслужившие установленный срок, подлежат уничтожению. Уничтожение съемных носителей с информацией ограниченного доступа осуществляется комиссией, созданной приказом председателя Правления Банка.

По результатам уничтожения носителей составляется акт по соответствующей форме.

5. Контроль изменений в составе и структуре ИСПДн

Все изменения в составе и структуре ИСПДн должны контролироваться, и подлежат регистрации в электронном журнале регистрации работ в ИСПДн (Приложение 2). Контролю подлежат следующие изменения:



  • внесение новых устройств в состав ИСПДн (АРМ, серверов, сетевого и телекоммуникационного оборудования и т.п.);

  • изменение мест включения существующих компонент ИСПДн;

  • удаление устройства из состава ИСПДн;

  • изменение мест установки устройства из состава ИСПДн;

  • прокладка новых кабельных линий связи СКС и внешних линий связи или удаление старых кабельных линий связи;

  • существенное изменение состава и конфигурации системного и прикладного программного обеспечения, участвующего в обработке ПДн;

  • создание новых и изменение существующих технологических процессов связанных с обработкой ПДн.

Все запросы на изменения необходимо стандартизовать и выполнять в соответствии с разработанными формальными процедурами. Результаты всех изменений должны оцениваться и документироваться.

Необходимо применять процедуры гарантирующие, что все потенциальные изменения оцениваются с точки зрения возможных негативных последствий на эксплуатацию системы и ее функциональность.

Должны быть установлены процедуры определяющие необходимость проведения экстренных изменений и процедуры контроля этих изменений.

Каждое изменение состава ИСПДн, типов технических средств, топологии ИСПДн должно отслеживаться и анализироваться на предмет соответствия требованиям по защите ИСПДн. При необходимости должна производиться модернизация СЗПДн.



6. Защита от несанкционированного физического доступа к элементам ИСПДн

Мероприятия по физическому контролю доступа включают:



  • мероприятия по контролю доступа на территорию;

  • мероприятия по контролю доступа в помещения с оборудованием ИСПДн;

  • мероприятия по контролю доступа к техническим средствам ИС;

  • мероприятия по контролю перемещений физических компонентов ИСПДн.

Мероприятия по контролю доступа на территорию должны обеспечить контролируемое нахождение посетителей на территорию Банка.

Помещения с серверным, телекоммуникационным и сетевым оборудованием ИСПДн должны иметь прочные входные двери с надежными замками и приспособлениями для опечатывания или внутренней сигнализацией. Двери должны быть постоянно закрыты и открываться только для санкционированного прохода сотрудников.

Двери помещений, в которых размещаются АРМ пользователей ИСПДн, должны быть оборудованы замками, либо в этих помещениях должны обеспечиваться мероприятия по контролю действий находящихся в них посторонних лиц.

Нахождение в помещении лиц, не участвующих в технологических процессах обработки ПДн (обслуживающий персонал, другие сотрудники), должно производиться только в присутствии сотрудников, участвующих в соответствующих технологических процессах.

Расположение мониторов рабочих станций должно препятствовать их несанкционированному просмотру со стороны других лиц, не являющихся пользователями ИСПДн.

При выносе устройств, хранящих ПДн, за пределы контролируемой зоны для ремонта, замены и т.п. должно быть обеспечено гарантированное уничтожение информации хранимой на этих устройствах.

В отношении некоторых ИСПДн возможны дополнительные, либо более низкие требования по физической защите. Состав таких требований определяется по результатам разработки Модели угроз и нарушителя и ТЗ (СТЗ, ЧТЗ) на создание СЗПДн. Мероприятия по защите таких ИСПДн определяются эксплуатационной (проектной) документацией.

7. Резервирование ПДн

Резервирование ПДн должно обеспечить возможность восстановления информации при нарушении целостности основных хранилищ данных.

В регламенте процесса резервирования учтены следующие вопросы:


  • порядок резервирования;

  • ответственные за резервирование;

  • порядок восстановления информации после аварий;

  • порядок хранения резервных копий.

Резервированию должна подвергаться информация, хранящаяся на электронных носителях ИСПДн. Резервирование должно осуществляться на носители информации с соответствующим уровнем надежности и долговечности.

Хранение резервных копий на оптических носителях, должно осуществляться в хранилищах, имеющих замок, а само хранилище должно располагаться в помещении с сигнализацией. Хранение (по возможности) должно осуществляться в месте, удаленном от основного хранилища информации.

Резервирование осуществляется в соответствии с «Регламентом резервного копирования».

8. Контроль за обеспечением необходимого уровня защищенности ПДн

Для обеспечения эффективности процесса обеспечения безопасности ПДн проводится:



  • контроль за соблюдением требований по обработке и защите персональных данных;

  • контроль за соблюдением условий использования средств защиты ПДн, предусмотренных эксплуатационной и технической документацией;

  • контроль эффективности средств защиты ПДн.

Контрольные мероприятия могут быть:

  • текущими;

  • внезапными;

  • плановыми внешними;

  • плановыми внутренними.

Ответственность за текущий контроль и плановый контроль эффективности обеспечения безопасности ПДн возлагается на специалиста по обеспечению ИБ. Данный контроль должен включаться в план аудитов информационной безопасности на год.

Для планового контроля эффективности СЗПДн должны проводиться проверки на своевременность обновления, правильность работы, в соответствии с заданными настройками.

Внезапные проверки эффективности, при необходимости, могут проводиться специальными группами по решению специалиста по обеспечению ИБ или по жалобе сотрудника, при подозрении неправильной работы.

При проведении контроля эффективности в общем случае должно проверяться:



  • наличие установленных средств защиты информации;

  • корректность настроек средств защиты информации;

  • выполнение пользователями и администраторами требований инструктивных материалов по защите ПДн;

  • исполнение требований к процедурам обработки ПДн (уничтожению ПДн, сбору согласий, допуску персонала к ПДн и т.п.);

  • правильность организации работы с носителями ПДн;

  • правильность обращения ключевой информации;

  • соответствие системы защиты ПДн реальному положению дел в Банке и т.п.



9. Реагирование на нештатные ситуации

Для эффективного реагирования на нештатные ситуации, возникающие при обработке ПДн, в Банке регламентированы следующие вопросы:



  • порядок определения нештатной ситуации;

  • порядок оповещения сотрудников при возникновении различных нештатных ситуаций;

  • порядок действий по нейтрализации нештатных ситуаций, сведения их негативных последствий к минимуму.

Разработанные порядки действий в нештатных ситуациях регулярно (не реже 1-2 раз в год) проверяются посредством проведения учений с корректировкой порядков по результатам проведенных проверок. В Банке проводятся расследования инцидентов, связанных с несанкционированным доступом и другими несанкционированными действиями, все инциденты регистрируются и отражаются в модели угроз. По результатам расследования инцидентов разрабатываются методики противодействия.

В рамках данного процесса должны решаться следующие задачи:



  • расследование инцидентов, связанных с безопасностью ПДн;

  • ликвидация последствий инцидентов связанных с безопасностью ПДн;

  • принятие мер по недопущению возникновения подобных инцидентов в дальнейшем.

Реагирование на нештатные ситуации должно производиться в соответствии с «Порядок по обнаружению и реагированию на инциденты ИБ».

10. Контроль лояльности персонала

В Банке проводится комплекс мероприятий направленных на исключение присутствия злоумышленников среди Администраторов и ответственного за обеспечение информационной безопасности, а также возможность сговора двух и более злоумышленников. Комплекс мероприятий включает, в том числе:



  • проверки информации о работнике при приеме в Банк;

  • периодические проверки на лояльность;

  • периодический мониторинг действий персонала.

Мероприятия по обеспечению безопасности персонала должны обеспечить невозможность злоумышленного сговора двух или более сотрудников Банка. Проверки должны выполняться как в скрытом, так и в явном режиме. При приеме на работу должны проводиться проверки идентичности личности, точности и полноты биографических фактов и заявляемой квалификации.

11. Организация работы с носителями ПДн

Порядок организации документооборота связанного с ПДн в Банке соответствует единому порядку организации конфиденциального делопроизводства. Для этого упорядочены и регламентированы следующие работы, связанные с ПДн:



  • оформление носителей, содержащих персональные данные;

  • учет носителей, содержащих персональные данные;

  • обращение с носителями, содержащими персональные данные;

  • систематизация носителей, содержащих персональные данные;

  • хранение носителей, содержащих персональные данные;

  • подготовка носителей, содержащих персональные данные для передачи их в архив;

  • подготовка носителей, содержащих персональные данные для их уничтожения;

  • проверка наличия носителей, содержащих персональные данные;

  • распечатка ПДн.

Должны регламентироваться работы с ПДн в виде документов на следующих носителях:

  • бумажных носителях;

  • электронных съемных носителях;

  • электронных несъемных носителях, используемых в технических средствах ИСПДн.

Порядок работ с ПДн регламентирован в «Правилах работы с ПДн».

Приложение 1


Форма

УТВЕРЖДАЮ

Председатель Правления

БАНК «КУРГАН» ПАО

________________ Д.А. Мухин

“_ _” __ ___ 2016г.
АКТ

передачи персональных данных третьим лицам
______________________________________________________________________________

(ФИО, должность)

передал(а) следующие документы, содержащие персональные данные________________________________________________________________________:

(ФИО клиента, сотрудника)

_____________________________________________________________________________

(перечислить наименования передаваемых документов, содержащих персональные данные)

по запросу______________________________________________________________________

_______________________________________________________________________________

(ФИО, должность, организация)

с целью_______________________________________________________________________________________.
____________________ ______________________________

подпись расшифровка подписи

Документы, содержащие персональные данные принял(а), экземпляр акта получил(а):
____________________ ______________________________

подпись расшифровка подписи


« »__________ 20 г.

Форма

Приложение 2



ЖУРНАЛ

УЧЕТА ПРОВОДИМЫХ РАБОТ В ИСПДн

Ответственный за ведение Журнала /______________________/

Начат «___» _________________20____г.

Окончен «___» _________________20____г.







Дата

Вид работ

Наименование ИСПДн

ФИО проводившего работы

Пломбы

Замечания

















































































































































Поделитесь с Вашими друзьями:


База данных защищена авторским правом ©vossta.ru 2019
обратиться к администрации

    Главная страница