Файл: Система защиты информации в банковских системах (ПОНЯТИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ).pdf

Скачать файл (0,21Мб)

Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 27.06.2023

Просмотров: 131

Скачиваний: 3

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

ВВЕДЕНИЕ

ЗАКЛЮЧЕНИЕ

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

В банке должна быть определена, выполняться и контролироваться политика в отношении обработки персональных данных, а также, в случае необходимости, установлены порядки обработки персональных данных для отдельных ресурсов персональных данных. Для ресурсов персональных данных, обрабатываемых в автоматизированной банковской системе, в том числе информационной системе персональных данных, порядок обработки персональных данных может являться частью эксплуатационной документации на автоматизированную банковскую систему и разрабатывается на этапе создания или модернизации автоматизированной банковской системы.

Банк должен опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему её политику в отношении обработки персональных данных, а также к сведениям о реализуемых требованиях по обеспечению безопасности персональных данных.

В банке должно быть установлено, в каких случаях необходимо получение согласия субъектов персональных данных, при этом форма и порядок получения согласия субъектов персональных данных должны быть регламентированы.

Должны быть определены учёта лиц, имеющих доступ к персональных данных.

Документ, определяющий перечень лиц, имеющих доступ к персональных данных, утверждается руководителем кредитной организации.

Обработка персональных данных работниками банка должны осуществляться только с целью выполнения их должностных обязанностей.

Должны быть определены процедуры ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации и внутренними документами организации, содержащими требования по обработке и обеспечению безопасности персональных данных в части, касающейся их должностных обязанностей.

В банке должны быть определены процедуры учёта помещений, в которых осуществляется обработка персональных данных, а также доступа работников организации и иных лиц в помещения, в которых ведется обработка персональных данных.

При работе с материальными носителями персональных данных должно быть обеспечено:

обособление персональных данных от иной информации, в частности, путём фиксации их на отдельных съёмных носителях персональных данных, в специальных разделах или на полях форм документов (при обработке персональных данных на бумажных носителях);
учёт съёмных носителей персональных данных;
установление, выполнение и контроль выполнения порядка хранения съёмных, в том числе машинных, носителей персональных данных и доступа к ним;
хранение персональных данных, цели обработки которых заведомо несовместимы, на отдельных съёмных носителях;
назначение работников, ответственных за организацию хранения материальных носителей персональных данных;
установление и выполнение порядка уничтожения информации с машинных носителей персональных данных;
регистрация и учёт мест хранения материальных носителей персональных данных с фиксацией категории обрабатываемых персональных данных (специальные категории, биометрические, полученные из общедоступных источников, или иные персональные данные) включая раздельное хранение ресурсов персональных данных, обработка которых осуществляется с различными целями.

с целью уничтожения персональных данных Банком создается Комиссия из числа работников Банка, выявляющая перечень субъектов персональных данных, информация о которых подлежит уничтожению, ИСПДн, в которых производится обработка указанной информации, а также носители персональных данных, подлежащие уничтожению.

В случае выявления ИСПДн, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, производится удаление указанных сведений из соответствующих ИСПДн. Результаты удаления фиксируются в Акте удаления персональных данных (по форме Приложения 9 к настоящему Положению).

В случае выявления носителей персональных данных, содержащих сведения о субъектах персональных данных, информация о которых подлежит уничтожению, при возможности и целесообразности производится уничтожение информации на носителях персональных данных с помощью программного обеспечения гарантированного уничтожения информации, в противном случае производится уничтожение указанных носителей персональных данных. Результаты уничтожения фиксируются в Акте уничтожения носителей персональных данных В случае поступления в Банк запроса субъекта ПДн, удовлетворяющего требованиям Федерального закона «О персональных данных», Руководитель подразделения, в которое поступило обращение, сообщает о наличии либо отсутствии обработки Банком персональных данных, относящихся к соответствующему субъекту ПДн путем направления Ответа о наличии обработки персональных данных (по форме Приложения 1 к настоящему Положению) либо Ответа об отсутствии обработки персональных данных (по форме Приложения 2 к настоящему Положению) соответственно.
В случае осуществления Банком обработки персональных данных, Банк также предоставляет возможность ознакомления с ними при обращении субъекта ПДн или его законного представителя в течение 30 (тридцати) рабочих дней с момента получения Банком запроса субъекта ПДн или его законного представителя. В случае отказа в предоставлении информации Руководитель подразделения сообщает об этом субъекту ПДн либо его законному представителю путем направления мотивированного Ответа об отказе в предоставлении информации о наличии обработки персональных данных При обработке Банком персональных данных субъект ПДн имеет право:
- ознакомиться со своими персональными данными, обрабатываемыми Банком;
- получить информацию о способах, правовых основаниях и целях обработки персональных данных, о лицах (исключая работников Банка). Наряду с обеспечением конфиденциальности сведений, составляющих персональные данные, Банк предоставляет указанные сведения самому субъекту ПДн или его представителю, а также государственным органам и их должностным лицам, организациям в случаях и в порядке, предусмотренном законодательством Российской Федерации. Банк предоставляет на безвозмездной основе сведения, составляющие персональные данные, государственным органам и их должностным лицам, организациям в рамках их компетенции, определенной законодательством Российской Федерации, при поступлении в Банк оригинала оформленного надлежащим образом мотивированного запроса в письменной форме.
Работники Банка, ответственные за обработку и хранение персональных данных, имеющие доступ к персональными данными в силу своих должностных обязанностей, при приеме на работу подписывают «Обязательство о соблюдении требований обращения с конфиденциальной информацией» [9.2.2], за исключением случаев, когда аналогичные требования отражены в трудовом договоре или должностных обязанностях.. Оригиналы подписанных «Обязательств о соблюдении требований обращения с конфиденциальной информацией» хранятся в Отделе по работе с персоналом Банка.

Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Общедоступные источники персональных данных создаются и публикуются банком только для цели выполнения требований законодательства Российской Федерации. В банке должны быть определены процедуры публикации персональных данных в общедоступных источниках персональных данных.

Поручение обработки персональных данных третьему лицу должно осуществляться на основании договора. В указанном договоре должны быть определены перечень действий с персональными данными, которые будут совершаться обработчиком, и цели обработки, должна быть установлена обязанность обработчика обеспечивать безопасность персональных данных при их обработке, не раскрывать и не распространять персональных данных без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, а также должны быть указаны требования по обеспечению безопасности персональных данных. При поручении обработки персональных данных обработчику банк должен получить согласие субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

В банке должны быть определены процедуры, выполняемые в случаях необходимости осуществления трансграничной передачи персональных данных.

Должно быть назначено лицо, ответственное за организацию обработки персональных данных. Полномочия лица, ответственного за организацию обработки персональных данных, а также его права и обязанности должны быть установлены руководство.

3.11 Общие требования по обеспечению информационной безопасности банковских технологических процессов, в рамках которых обрабатываются персональные данные

С учётом специфики обработки и обеспечения безопасности персональных данных в организациях банковской системы, угрозы утечки персональных данных по техническим каналам, а также угрозы, связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении, используемом в информационных системах персональных данных, рекомендуется признавать неактуальными для организаций банковской системы.

Результатом оценки рисков нарушения безопасности персональных данных является Модель угроз безопасности персональных данных, содержащая актуальные для организации угрозы безопасности персональных данных, на основе которой вырабатываются требования, учитывающие особенности обработки персональных данных в конкретной организации.

Для выполнения требований к защите персональных данных для второго уровня защищённости персональных данных при их обработке в информационных системах персональных данных, установленного Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», рекомендуется реализовывать следующие меры:

в части обеспечения ИБ автоматизированной банковской системы на стадиях жизненного цикла:
определение, выполнение и регистрация процедур контроля целостности и обеспечения доверенной загрузки программного обеспечения, в том числе программного обеспечения технических защитных мер, на средствах вычислительной техники, входящих в информационную систему персональных данных;
определение, выполнение, регистрация и контроль процедур доступа к эксплуатационной документации и архивным файлам, содержащим параметры настройки информационной системы персональных данных, в том числе настройки применяемых технических защитных мер;
определение, выполнение, регистрация и контроль процедур резервного копирования и обеспечения возможности восстановления персональных данных;
определение, выполнение, регистрация и контроль процедур резервного копирования и обеспечения возможности восстановления программного обеспечения, в том числе программного обеспечения технических защитных мер, входящего в состав информационной системы персональных данных;

Смотрите также файлы

Графические планшеты (1. Общие сведения о графических планшетах).pdf

Сетевые операционные системы (Сетевые операционные системы).pdf

Учетная политика организации: цель, задачи, формирование, применение.pdf

Добросовестная и недобросовестная ценовая конкуренция (Теоретические основы исследования ценовой конкуренции).pdf

Способы исправления ошибок в учетных регистрах ( Теоретические аспекты формирования бухгалтерских регистров).pdf

Файл: Система защиты информации в банковских системах (ПОНЯТИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ).pdf

Смотрите также файлы

Информация

Списки файлов

Дополнительно