Приложение 2. План приведения в соответствие с требованиями Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных"
См. данную форму в MS-Word.
<руководитель организации БС РФ>
ФИО
_______________________________
"__" __________ 20__ г.
План приведения ____________________________________
(наименование организации БС РФ)
в соответствие с требованиями Федерального закона
от 27 июля 2006 года N 152-ФЗ "О персональных данных"
┌───┬────────────────────┬──────────┬─────────────┬──────────┬──────┬────────┬─────────────┐
│ N │ Наименование │Основание │ Форма │ Статус │Срок │Ответст-│ Примечание │
│п/п│ мероприятия │(норматив-│ реализации │реализации│выпол-│венное │ │
│ │ │ный акт) │ │ │нения │лицо │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│1. │Изучить бизнес- │ │ │ │ │ │ │
│ │процессы организации│ │ │ │ │ │ │
│ │БС РФ и │ │ │ │ │ │ │
│ │технологические │ │ │ │ │ │ │
│ │процессы обработки │ │ │ │ │ │ │
│ │информации │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│2. │Идентифицировать и │ │ │ │ │ │ │
│ │описать все бизнес- │ │ │ │ │ │ │
│ │процессы │ │ │ │ │ │ │
│ │(технологические │ │ │ │ │ │ │
│ │процессы), в рамках │ │ │ │ │ │ │
│ │которых │ │ │ │ │ │ │
│ │обрабатываются ПДн │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│3. │Определить, какие │ │ │ │ │ │ │
│ │программные и │ │ │ │ │ │ │
│ │технические средства│ │ │ │ │ │ │
│ │используются в │ │ │ │ │ │ │
│ │технологических │ │ │ │ │ │ │
│ │процессах, в рамках │ │ │ │ │ │ │
│ │которых │ │ │ │ │ │ │
│ │обрабатываются ПДн │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│ │работников │ │ │ │ │ │ │
│ │организации │ │ │ │ │ │ │
│ │(должности), │ │ │ │ │ │ │
│ │участвующих в │ │ │ │ │ │ │
│ │технологических │ │ │ │ │ │ │
│ │процессах, в рамках │ │ │ │ │ │ │
│ │которых │ │ │ │ │ │ │
│ │обрабатываются ПДн │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│5. │Определить состав │ │Проект │ │ │ │ │
│ │обрабатываемых в │ │перечня ПДн │ │ │ │ │
│ │организации ПДн │ │ │ │ │ │ │
│ │(тип, категория, │ │ │ │ │ │ │
│ │объем) │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│6. │Определить цели, │ │Проект │ │ │ │ │
│ │правовое основание, │ │перечня ПДн │ │ │ │ │
│ │условия и принципы │ │ │ │ │ │ │
│ │обработки ПДн │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│7. │Определить, │ │Проект │ │ │ │ │
│ │выполняется ли │ │перечня ПДн │ │ │ │ │
│ │обработка │ │ │ │ │ │ │
│ │специальных │ │ │ │ │ │ │
│ │категорий ПДн. Если │ │ │ │ │ │ │
│ │да, то на каком │ │ │ │ │ │ │
│ │основании │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│8. │Определить к какому │ │Проект │ │ │ │ │
│ │типу защищаемой │ │перечня ПДн │ │ │ │ │
│ │(коммерческая тайна,│ │ │ │ │ │ │
│ │банковская тайна и │ │ │ │ │ │ │
│ │др.) информации │ │ │ │ │ │ │
│ │относятся ПДн │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│9. │Сопоставить объем │ │Перечень ПДн │ │ │ │ │
│ │собираемых ПДн целям│ │ │ │ │ │ │
│ │обработки (убрать │ │ │ │ │ │ │
│ │избыточные данные) │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│10.│Определить срок │ │Перечень ПДн │ │ │ │ │
│ │хранения ПДн │ │или отдельный│ │ │ │ │
│ │ │ │нормативный │ │ │ │ │
│ │ │ │акт │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│11.│Определить │ │Согласие │ │ │ │ │
│ │необходимость │ │субъектов на │ │ │ │ │
│ │получения согласия │ │обработку ПДн│ │ │ │ │
│ │на обработку ПДн и │ │ │ │ │ │ │
│ │для тех случаев, │ │ │ │ │ │ │
│ │когда необходимо │ │ │ │ │ │ │
│ │получить такое │ │ │ │ │ │ │
│ │согласие в │ │ │ │ │ │ │
│ │письменном виде │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│12.│Сообщать субъекту │ │Скорректиро- │ │ │ │ │
│ │ПДн о целях │ │ванные формы │ │ │ │ │
│ │обработки при сборе │ │договоров с │ │ │ │ │
│ │сведений, │ │субъектами │ │ │ │ │
│ │составляющих ПДн │ │персональных │ │ │ │ │
│ │ │ │данных │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│13.│Определить ПДн, │ │Типовая форма│ │ │ │ │
│ │получаемые не │ │уведомления │ │ │ │ │
│ │непосредственно от │ │субъектов │ │ │ │ │
│ │субъекта ПДн, и для │ │ │ │ │ │ │
│ │таких случаев │ │ │ │ │ │ │
│ │уведомить │ │ │ │ │ │ │
│ │субъектов │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│14.│Определить порядок │ │ │ │ │ │ │
│ │передачи ПДн │ │ │ │ │ │ │
│ │сторонним │ │ │ │ │ │ │
│ │организациям и │ │ │ │ │ │ │
│ │лицам │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│15.│Определить │ │Изменение │ │ │ │ │
│ │договорные │ │форм │ │ │ │ │
│ │взаимоотношения, в │ │договоров и │ │ │ │ │
│ │рамках которых │ │заключение │ │ │ │ │
│ │выполняется │ │дополнитель- │ │ │ │ │
│ │передача ПДн │ │ных │ │ │ │ │
│ │третьей стороне и │ │соглашений к │ │ │ │ │
│ │внести в такие │ │действующим │ │ │ │ │
│ │договора требования │ │договорам │ │ │ │ │
│ │об обеспечении │ │ │ │ │ │ │
│ │конфиденциальности │ │ │ │ │ │ │
│ │передаваемых ПДн │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│16.│Определить, │ │ │ │ │ │ │
│ │выполняется ли │ │ │ │ │ │ │
│ │трансграничная │ │ │ │ │ │ │
│ │передача ПДн. Если │ │ │ │ │ │ │
│ │да, то убедиться, │ │ │ │ │ │ │
│ │что иностранным │ │ │ │ │ │ │
│ │государством, на │ │ │ │ │ │ │
│ │территорию которого │ │ │ │ │ │ │
│ │осуществляется │ │ │ │ │ │ │
│ │передача │ │ │ │ │ │ │
│ │персональных │ │ │ │ │ │ │
│ │данных, │ │ │ │ │ │ │
│ │обеспечивается │ │ │ │ │ │ │
│ │адекватная защита │ │ │ │ │ │ │
│ │прав субъектов │ │ │ │ │ │ │
│ │персональных │ │ │ │ │ │ │
│ │данных, или в │ │ │ │ │ │ │
│ │противном случае │ │ │ │ │ │ │
│ │имеется обоснование │ │ │ │ │ │ │
│ │для такой передачи │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│17.│Определить порядок │ │Регламент │ │ │ │ │
│ │реагирования на │ │реагирования │ │ │ │ │
│ │запросы со стороны │ │на обращения │ │ │ │ │
│ │субъектов ПДн и │ │субъектов. │ │ │ │ │
│ │предоставления им │ │Журналы │ │ │ │ │
│ │их ПДн, внесения │ │(книги) учета│ │ │ │ │
│ │изменений, │ │обращений │ │ │ │ │
│ │прекращения │ │субъектов │ │ │ │ │
│ │обработки ПДн │ │персональных │ │ │ │ │
│ │ │ │данных. │ │ │ │ │
│ │ │ │Типовая форма│ │ │ │ │
│ │ │ │ответа на │ │ │ │ │
│ │ │ │запросы │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│18.│Определить порядок │ │Инструкция по│ │ │ │ │
│ │уничтожения ПДн │ │уничтожению │ │ │ │ │
│ │после достижения │ │ПДн. │ │ │ │ │
│ │целей обработки │ │Акт об │ │ │ │ │
│ │ │ │уничтожении │ │ │ │ │
│ │ │ │персональных │ │ │ │ │
│ │ │ │данных │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│19.│Определить │ │Уведомление │ │ │ │ │
│ │необходимость │ │Роскомнадзора│ │ │ │ │
│ │уведомления │ │ │ │ │ │ │
│ │уполномоченного │ │ │ │ │ │ │
│ │органа по защите │ │ │ │ │ │ │
│ │ПДн о начале │ │ │ │ │ │ │
│ │обработки ПДн. Если │ │ │ │ │ │ │
│ │необходимость есть, │ │ │ │ │ │ │
│ │то составить и │ │ │ │ │ │ │
│ │отправить │ │ │ │ │ │ │
│ │уведомление │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│20.│Определить │ │Приказ о │ │ │ │ │
│ │структурное │ │назначении │ │ │ │ │
│ │подразделение или │ │ответствен- │ │ │ │ │
│ │должностное лицо, │ │ного │ │ │ │ │
│ │ответственное за │ │ │ │ │ │ │
│ │обеспечение │ │ │ │ │ │ │
│ │безопасности ПДн │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│21.│Провести анализ │ │Список │ │ │ │ │
│ │систем организации │ │систем, в │ │ │ │ │
│ │и составить │ │которых │ │ │ │ │
│ │перечень систем, в │ │обрабатывают-│ │ │ │ │
│ │которых │ │ся │ │ │ │ │
│ │обрабатываются │ │персональные │ │ │ │ │
│ │персональные │ │данные │ │ │ │ │
│ │данные. Выделить │ │ │ │ │ │ │
│ │ИСПДн │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│22.│Выявить ИСПДн (в │ │ │ │ │ │Обеспечение │
│ │том числе │ │ │ │ │ │безопасности │
│ │государственные) и │ │ │ │ │ │ПДн в таких │
│ │их границы (в │ │ │ │ │ │системах сле-│
│ │рамках организации │ │ │ │ │ │дует осущест-│
│ │БС РФ), в отношении │ │ │ │ │ │влять в соот-│
│ │которых организация │ │ │ │ │ │ветствии с │
│ │не определяет цели │ │ │ │ │ │предъявляемы-│
│ │обработки и │ │ │ │ │ │ми их органи-│
│ │требования по │ │ │ │ │ │затором (вла-│
│ │защите (например, │ │ │ │ │ │дельцем) тре-│
│ │передача отчетности │ │ │ │ │ │бованиями │
│ │в Пенсионный фонд, │ │ │ │ │ │ │
│ │ФНС, ФОМС и др.) │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│23.│Разработать модель │ │Приказ о │ │ │ │ │
│ │угроз ПДн │ │вводе в │ │ │ │ │
│ │ │ │действие в │ │ │ │ │
│ │ │ │организации │ │ │ │ │
│ │ │ │БС РФ │ │ │ │ │
│ │ │ │Отраслевой │ │ │ │ │
│ │ │ │модели угроз │ │ │ │ │
│ │ │ │или │ │ │ │ │
│ │ │ │Частная │ │ │ │ │
│ │ │ │модель угроз │ │ │ │ │
│ │ │ │безопасности │ │ │ │ │
│ │ │ │ПДн │ │ │ │ │
│ │ │ │организации │ │ │ │ │
│ │ │ │БС РФ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│24.│Провести │ │Акты │ │ │ │ │
│ │классификацию │ │классификации│ │ │ │ │
│ │ИСПДн │ │ИСПДн │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│ │необходимость и │ │ │ │ │ │ │
│ │возможности │ │ │ │ │ │ │
│ │обезличивания ПДн. │ │ │ │ │ │ │
│ │Провести │ │ │ │ │ │ │
│ │обезличивание ПДн. │ │ │ │ │ │ │
│ │При необходимости │ │ │ │ │ │ │
│ │провести повторную │ │ │ │ │ │ │
│ │классификацию ИСПДн │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│26.│Определить │ │Политика │ │ │ │ │
│ │требования и меры │ │информацион- │ │ │ │ │
│ │по обеспечению │ │ной │ │ │ │ │
│ │безопасности ПДн │ │безопасности │ │ │ │ │
│ │ │ │или отдельный│ │ │ │ │
│ │ │ │документ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│27.│Разработать │ │Политика │ │ │ │ │
│ │требования по │ │информацион- │ │ │ │ │
│ │обеспечению │ │ной │ │ │ │ │
│ │безопасности ПДн │ │безопасности │ │ │ │ │
│ │при обработке в │ │или отдельный│ │ │ │ │
│ │ИСПДн │ │документ, │ │ │ │ │
│ │ │ │содержащий │ │ │ │ │
│ │ │ │требования по│ │ │ │ │
│ │ │ │обеспечению │ │ │ │ │
│ │ │ │безопасности │ │ │ │ │
│ │ │ │ПДн │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│28.│Разработать │ │Должностные │ │ │ │ │
│ │должностные │ │инструкции │ │ │ │ │
│ │инструкции │ │персонала и │ │ │ │ │
│ │персоналу ИСПДн в │ │журнал │ │ │ │ │
│ │части обеспечения │ │инструктажа │ │ │ │ │
│ │безопасности ПДн │ │ │ │ │ │ │
│ │при их обработке в │ │ │ │ │ │ │
│ │ИСПДн │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│29.│Определить порядок │ │Журнал учета │ │ │ │ │
│ │действий │ │нештатных │ │ │ │ │
│ │должностных лиц в │ │ситуаций │ │ │ │ │
│ │случае │ │ │ │ │ │ │
│ │возникновения │ │ │ │ │ │ │
│ │нештатных ситуаций │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│30.│Определить порядок │ │Политика │ │ │ │ │
│ │проведения контроля │ │информацион- │ │ │ │ │
│ │обеспечения │ │ной │ │ │ │ │
│ │безопасности ПДн │ │безопасности │ │ │ │ │
│ │ │ │или отдельный│ │ │ │ │
│ │ │ │документ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│31.│Анализ существующих │ │ │ │ │ │ │
│ │защитных мер на │ │ │ │ │ │ │
│ │предмет │ │ │ │ │ │ │
│ │соответствия │ │ │ │ │ │ │
│ │требованиям │ │ │ │ │ │ │
│ │Стандартов Банка │ │ │ │ │ │ │
│ │России и │ │ │ │ │ │ │
│ │требованиям, │ │ │ │ │ │ │
│ │определенным на │ │ │ │ │ │ │
│ │этапах 19, 20 │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│ │невыполненных в │ │ │ │ │ │ │
│ │организации │ │ │ │ │ │ │
│ │требований │ │ │ │ │ │ │
│ │Стандартов Банка │ │ │ │ │ │ │
│ │России и │ │ │ │ │ │ │
│ │требований, │ │ │ │ │ │ │
│ │определенных на │ │ │ │ │ │ │
│ │этапах 19, 20, │ │ │ │ │ │ │
│ │принятие решений о │ │ │ │ │ │ │
│ │создании системы │ │ │ │ │ │ │
│ │защиты персональных │ │ │ │ │ │ │
│ │данных, доработке │ │ │ │ │ │ │
│ │ИСПДн, доработке │ │ │ │ │ │ │
│ │документов │ │ │ │ │ │ │
│ │организации БС РФ и │ │ │ │ │ │ │
│ │др. │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│33.│Организовать │ │Приказы, │ │ │ │ │
│ │разработку системы │ │Распоряжения,│ │ │ │ │
│ │обеспечения │ │Договоры с │ │ │ │ │
│ │безопасности │ │организация- │ │ │ │ │
│ │персональных данных │ │ми, которые │ │ │ │ │
│ │на основе положений │ │проводят │ │ │ │ │
│ │ГОСТ 34 серии │ │работы по │ │ │ │ │
│ │ │ │созданию │ │ │ │ │
│ │ │ │системы │ │ │ │ │
│ │ │ │защиты │ │ │ │ │
│ │ │ │информации, │ │ │ │ │
│ │ │ │Документы в │ │ │ │ │
│ │ │ │соответствии │ │ │ │ │
│ │ │ │с положениями│ │ │ │ │
│ │ │ │ГОСТ 34 серии│ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│34.│Разработать систему │ │ │ │ │ │ │
│ │защиты в │ │ │ │ │ │ │
│ │соответствии с │ │ │ │ │ │ │
│ │положениями │ │ │ │ │ │ │
│ │Стандартов Банка │ │ │ │ │ │ │
│ │России и │ │ │ │ │ │ │
│ │требованиями, │ │ │ │ │ │ │
│ │определенным на │ │ │ │ │ │ │
│ │этапах 19, 20 │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│35.│Разработка │ │Технические │ │ │ │ │
│ │технических заданий │ │задания. │ │ │ │ │
│ │на создание системы │ │Частные │ │ │ │ │
│ │защиты. │ │технические │ │ │ │ │
│ │Разработка частных │ │задания │ │ │ │ │
│ │технических заданий │ │ │ │ │ │ │
│ │на доработку ИСПДн │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│36.│Вести учет носителей│ │Справки, │ │ │ │ │
│ │ПДн, СЗИ, в том │ │Журналы учета│ │ │ │ │
│ │числе поэкземплярный│ │ │ │ │ │ │
│ │учет СКЗИ, │ │ │ │ │ │ │
│ │криптографических │ │ │ │ │ │ │
│ │ключей │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│37.│Назначить приказом │ │Приказ о │ │ │ │ │
│ │ответственного │ │назначении │ │ │ │ │
│ │пользователя СКЗИ, │ │ответствен- │ │ │ │ │
│ │имеющего необходимый│ │ного за СКЗИ │ │ │ │ │
│ │уровень квалификации│ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│ │размещение, │ │ │ │ │ │ │
│ │специальное │ │ │ │ │ │ │
│ │оборудование, охрану│ │ │ │ │ │ │
│ │и организацию режима│ │ │ │ │ │ │
│ │в помещениях, где │ │ │ │ │ │ │
│ │установлены СКЗИ или│ │ │ │ │ │ │
│ │хранятся │ │ │ │ │ │ │
│ │криптографические │ │ │ │ │ │ │
│ │ключи │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│39.│Определить │ │Приказы, │ │ │ │ │
│ │подразделения и │ │распоряжения │ │ │ │ │
│ │назначить лиц, │ │ │ │ │ │ │
│ │ответственных за │ │ │ │ │ │ │
│ │эксплуатацию средств│ │ │ │ │ │ │
│ │защиты информации с │ │ │ │ │ │ │
│ │их обучением по │ │ │ │ │ │ │
│ │направлению │ │ │ │ │ │ │
│ │обеспечения │ │ │ │ │ │ │
│ │безопасности ПДн │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│40.│Провести обучение │ │Документы о │ │ │ │ │
│ │лиц, использующих │ │прохождении │ │ │ │ │
│ │средства защиты │ │обучения │ │ │ │ │
│ │информации, │ │ │ │ │ │ │
│ │применяемые в │ │ │ │ │ │ │
│ │информационных │ │ │ │ │ │ │
│ │системах, правилам │ │ │ │ │ │ │
│ │работы с ними │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│41.│Доработка │ │Документы │ │ │ │ │
│ │существующих │ │ │ │ │ │ │
│ │документов и │ │ │ │ │ │ │
│ │разработка новых │ │ │ │ │ │ │
│ │документов с целью │ │ │ │ │ │ │
│ │приведения │ │ │ │ │ │ │
│ │документов │ │ │ │ │ │ │
│ │организации в │ │ │ │ │ │ │
│ │соответствие с │ │ │ │ │ │ │
│ │требованиями │ │ │ │ │ │ │
│ │Федерального закона │ │ │ │ │ │ │
│ │"О персональных │ │ │ │ │ │ │
│ │данных" и Стандартов│ │ │ │ │ │ │
│ │Банка России │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│42.│Определить │ │Лицензии │ │ │ │ │
│ │необходимость │ │ │ │ │ │ │
│ │получения лицензий │ │ │ │ │ │ │
│ │(в соответствии с │ │ │ │ │ │ │
│ │пунктами 9.6 и 9.7 │ │ │ │ │ │ │
│ │СТО БР ИББС-1.0- │ │ │ │ │ │ │
│ │2010) │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│43.│Проводить │ │Журнал учета │ │ │ │ │
│ │разбирательство и │ │нештатных │ │ │ │ │
│ │составление │ │ситуаций │ │ │ │ │
│ │заключений по фактам│ │ │ │ │ │ │
│ │несоблюдения условий│ │ │ │ │ │ │
│ │хранения носителей │ │ │ │ │ │ │
│ │персональных данных,│ │ │ │ │ │ │
│ │использования │ │ │ │ │ │ │
│ │средств защиты │ │ │ │ │ │ │
│ │информации, которые │ │ │ │ │ │ │
│ │могут привести к │ │ │ │ │ │ │
│ │нарушению │ │ │ │ │ │ │
│ │конфиденциальности │ │ │ │ │ │ │
│ │персональных данных │ │ │ │ │ │ │
│ │или другим │ │ │ │ │ │ │
│ │нарушениям, │ │ │ │ │ │ │
│ │приводящим к │ │ │ │ │ │ │
│ │снижению уровня │ │ │ │ │ │ │
│ │защищенности │ │ │ │ │ │ │
│ │персональных данных,│ │ │ │ │ │ │
│ │разработку и │ │ │ │ │ │ │
│ │принятие мер по │ │ │ │ │ │ │
│ │предотвращению │ │ │ │ │ │ │
│ │возможных опасных │ │ │ │ │ │ │
│ │последствий подобных│ │ │ │ │ │ │
│ │нарушений │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│44.│Выполнять постоянный│ │Справки, │ │ │ │ │
│ │контроль обеспечения│ │отчеты │ │ │ │ │
│ │безопасности ПДн │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│45.│Провести самооценку │ │Отчет о │ │ │ │ │
│ │соответствия │ │результатах. │ │ │ │ │
│ │информационной │ │План │ │ │ │ │
│ │безопасности (в том │ │устранения │ │ │ │ │
│ │числе обеспечения │ │выявленных │ │ │ │ │
│ │безопасности │ │недостатков │ │ │ │ │
│ │персональных данных)│ │ │ │ │ │ │
│ │требованиям СТО БР │ │ │ │ │ │ │
│ │ИББС-1.0-20.... │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│46.│Провести внешнюю │ │Отчет и │ │ │ │ │
│ │оценку соответствия │ │Заключение. │ │ │ │ │
│ │информационной │ │План │ │ │ │ │
│ │безопасности (в том │ │устранения │ │ │ │ │
│ │числе обеспечения │ │выявленных │ │ │ │ │
│ │безопасности │ │недостатков │ │ │ │ │
│ │персональных данных)│ │ │ │ │ │ │
│ │требованиям СТО БР │ │ │ │ │ │ │
│ │ИББС-1.0-20.... │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│47.│Подготовить и │ │Подтверждение│ │ │ │ │
│ │утвердить │ │соответствия │ │ │ │ │
│ │"Подтверждение │ │организации │ │ │ │ │
│ │соответствия │ │БС РФ │ │ │ │ │
│ │организации БС РФ │ │стандарту │ │ │ │ │
│ │стандарту Банка │ │Банка России │ │ │ │ │
│ │России СТО БР ИББС- │ │СТО БР ИББС- │ │ │ │ │
│ │1.0-2010" │ │1.0-2010 │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│ │"Подтверждение │ │ │ │ │ │ │
│ │соответствия │ │ │ │ │ │ │
│ │организации БС РФ │ │ │ │ │ │ │
│ │стандарту Банка │ │ │ │ │ │ │
│ │России СТО БР ИББС- │ │ │ │ │ │ │
│ │1.0-2010" │ │ │ │ │ │ │
├───┼────────────────────┼──────────┼─────────────┼──────────┼──────┼────────┼─────────────┤
│49.│Выполнять постоянный│ │Справки, │ │ │ │ │
│ │контроль обеспечения│ │отчеты, │ │ │ │ │
│ │безопасности ПДн │ │заключения │ │ │ │ │
└───┴────────────────────┴──────────┴─────────────┴──────────┴──────┴────────┴─────────────┘
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей