Таблица 2. Перечень документов

┌────┬────────────────────────────────────┬─────────────────┬──────────────────────────────┐

│ N │ Документ │ Ссылка <*> │ Примечание │

│п/п │ │ │ │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│1 │Приказ о создании комиссии по │Раздел V пункт a │Одной из задач комиссии │

│ │приведению организации БС РФ в │Рекомендаций │является классификация │

│ │соответствие с требованиями │ │информационных систем │

│ │Федерального закона "О персональных │ │персональных данных. Шаблон │

│ │данных" │ │документа - в Приложении 1 │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│2 │План по приведению организации БС │Раздел V пункт b │В Приложении 2 приведен пример│

│ │РФ в соответствие требованиям │Рекомендаций │такого плана │

│ │Федерального закона "О персональных │ │ │

│ │данных" │ │ │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│3 │Перечень персональных данных, │Раздел V пункт c │В Приложении 3 приведен │

│ │обрабатываемых организацией БС РФ в │Рекомендаций │примерный перечень, который │

│ │своей деятельности │ │может быть скорректирован │

│ │ │ │(сокращен или дополнен) в │

│ │ │ │зависимости от специфики │

│ │ │ │деятельности организации БС РФ│

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│4 │Приказ о назначении ответственного │Пункт 13 │Шаблон документа - в │

│ │за обеспечение безопасности │Постановления │Приложении 4. Допускается │

│ │персональных данных (структурного │Правительства │возложение ответственности на │

│ │подразделения или должностного │N 781 │существующее в организации БС │

│ │лица) │Приказ ФСТЭК │РФ подразделение (например, на│

│ │ │ │службу безопасности) с │

│ │ │ │внесением изменений в │

│ │ │ │Положение о данном структурном│

│ │ │ │подразделении │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│5 │Список лиц, доступ которых к │Пункт 14 │Возможно существование перечня│

│ │персональным данным, обрабатываемым │Постановления │(списка) в электронном виде, │

│ │в ИСПДн, необходим для выполнения │Правительства N │при условии предоставления │

│ │служебных (трудовых) обязанностей │781 │работникам прав доступа в │

│ │ │ │ИСПДн только на основании │

│ │ │ │распорядительного документа в │

│ │ │ │документально зафиксированном │

│ │ │ │в организации БС РФ порядке. │

│ │ │ │В случае необходимости (в │

│ │ │ │частности, перед проведением │

│ │ │ │проверок) может быть │

│ │ │ │распечатан на бумажный │

│ │ │ │носитель в виде базы │

│ │ │ │пользователей, например, │

│ │ │ │Active Directory или │

│ │ │ │определенной ИСПДн │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│6 │Список систем, в которых │Раздел V пункт d │Шаблон документа - в │

│ │обрабатываются персональные данные │Рекомендаций │Приложении 5 │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│7 │Акт классификации информационных │Пункт 18 Приказа │Шаблон документа - в │

│ │систем персональных данных │Раздел V пункт d │Приложении 6 │

│ │организации БС РФ │Рекомендаций │ │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│8 │Заключение о возможности │Пункт 12 │Шаблон документа - в │

│ │эксплуатации средств защиты │Постановления │Приложении 7. │

│ │информации │Правительства N │Заключение составляется по │

│ │ │781 │результатам проверки │

│ │ │ │готовности средств защиты │

│ │ │ │информации к использованию. │

│ │ │ │Допускается издание актов │

│ │ │ │ввода в эксплуатацию АБС, в │

│ │ │ │состав которых входят средства│

│ │ │ │и системы защиты информации │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│9 │Политика информационной │Постановление │1. Разрабатывается на основе │

│ │безопасности организации БС РФ, в │Правительства N │положений стандарта Банка │

│ │части разделов, касающихся │781 │России СТО БР ИББС-1.0-2010. │

│ │обеспечения безопасности │Пункт 16 Приказа │2. Включаются требования: │

│ │персональных данных │Регламент ФСБ │- по обеспечению безопасности │

│ │ │Документы ФСБ │персональных данных в │

│ │ │Приказ ФСТЭК │организации БС РФ как при │

│ │ │ │обработке персональных данных │

│ │ │ │в ИСПДн, так и вне ИСПДн; │

│ │ │ │- (в случае использования │

│ │ │ │СКЗИ) по обеспечению │

│ │ │ │безопасности персональных │

│ │ │ │данных при помощи СКЗИ; │

│ │ │ │- по хранению носителей │

│ │ │ │персональных данных; │

│ │ │ │- организации допуска и защиты│

│ │ │ │помещений, в которых │

│ │ │ │обрабатываются персональные │

│ │ │ │данные; │

│ │ │ │- и др. │

│ │ │ │3. Может быть единым │

│ │ │ │документом (политика │

│ │ │ │информационной безопасности │

│ │ │ │организации БС РФ, включающая │

│ │ │ │разделы, касающиеся │

│ │ │ │обеспечения безопасности │

│ │ │ │персональных данных) или │

│ │ │ │комплектом документов (набор │

│ │ │ │частных политик, включающих │

│ │ │ │разные аспекты обеспечения │

│ │ │ │безопасности персональных │

│ │ │ │данных) │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│10 │План проведения контроля (как │Пункт 12 │1. Разрабатывается на основе │

│ │внутреннего контроля, так и │Постановления │положений стандарта Банка │

│ │контроля с привлечением внешних │Правительства │России СТО БР ИББС-1.0-2010. │

│ │независимых проверяющих │N 781 │2. Включает, в частности, │

│ │организаций) обеспечения │ │контроль за соблюдением │

│ │безопасности персональных данных │ │условий использования средств │

│ │ │ │защиты информации, │

│ │ │ │предусмотренных │

│ │ │ │эксплуатационной и технической│

│ │ │ │документацией │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│11 │Документы, подтверждающие │Пункт 12 │Такими документами могут, в │

│ │постановку на учет средств защиты │Постановления │частности, являться справки о │

│ │информации, применяемых в │Правительства │постановке на балансовый учет │

│ │организации БС РФ для обеспечения │N 781 │ │

│ │безопасности персональных данных │ │ │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│12 │Журнал учета носителей персональных │Пункт 12 │Шаблон документа - в │

│ │данных │Постановления │Приложении 8. │

│ │ │Правительства │Журнал нумеруется, │

│ │ │N 781 │брошюруется, скрепляется │

│ │ │ │печатью и подписывается │

│ │ │ │работником, на которого │

│ │ │ │возложены соответствующие │

│ │ │ │обязанности │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│13 │Эксплуатационная и техническая │Пункт 12 │Предоставляется разработчиком │

│ │документация на средства и системы │Постановления │или поставщиком средств и │

│ │защиты информации │Правительства │систем защиты информации. │

│ │ │N 781 │Является описанием системы │

│ │ │ │защиты персональных данных │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│14 │Частная модель угроз безопасности │Пункт 12 │См. Раздел V пункт e │

│ │персональных данных в организации │Постановления │Рекомендаций │

│ │БС РФ │Правительства │ │

│ │ │N 781 │ │

│ │ │Пункт 16 Приказа │ │

│ │ │Регламент ФСБ │ │

│ │ │Документы ФСБ │ │

│ │ │Приказ ФСТЭК │ │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│15 │Уведомление об обработке │Статья 22 Закона │Типовая форма уведомления и │

│ │персональных данных │Пункт 64.1.1 │рекомендации по ее заполнению │

│ │ │регламента │на официальном интернет-сайте │

│ │ │Роскомнадзора │Роскомнадзора www.rsoc.ru │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│16 │Положение о порядке обработки │Пункты 64.1.5, │1. Разрабатывается на основе │

│ │персональных данных │64.1.7 регламента│положений раздела 7.10 │

│ │ │Роскомнадзора │стандарта Банка России СТО │

│ │ │ │БР ИББС-1.0-2010. │

│ │ │ │2. Содержит в том числе: │

│ │ │ │порядок и условия обработки │

│ │ │ │специальных категорий и │

│ │ │ │биометрических персональных │

│ │ │ │данных, порядок и условия │

│ │ │ │трансграничной передачи │

│ │ │ │персональных данных, порядок │

│ │ │ │обработки персональных данных,│

│ │ │ │осуществляемой без │

│ │ │ │использования средств │

│ │ │ │автоматизации (если такая │

│ │ │ │обработка есть в организации │

│ │ │ │БС РФ) │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│17 │Документ, определяющий процедуру │Пункт 67.1 │Такими документами могут быть,│

│ │допуска работников организации БС │регламента │например, утвержденная │

│ │РФ к работе с персональными │Роскомнадзора │процедура допуска, │

│ │данными │ │распорядительные документы │

│ │ │ │организации БС РФ и т.п. │

│ │ │ │ │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│18 │Должностные регламенты/инструкции │Пункт 67.1 │Могут быть написаны явно или │

│ │лиц, имеющих доступ и (или) │регламента │содержаться в иных документах,│

│ │осуществляющих обработку │Роскомнадзора │устанавливающих права, │

│ │персональных данных │ │полномочия и обязанности │

│ │ │ │работников организации БС РФ, │

│ │ │ │имеющих доступ к информации, │

│ │ │ │защищаемой в соответствии с │

│ │ │ │действующим законодательством │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│19 │Типовые формы документов, │Пункт 67.1 │Под типовой формой документа │

│ │содержащие персональные данные │регламента │понимается шаблон, бланк │

│ │ │Роскомнадзора │документа или другая │

│ │ │ │унифицированная форма │

│ │ │ │документа, разрабатываемая │

│ │ │ │организацией с целью сбора │

│ │ │ │ПДн. │

│ │ │ │Требования к типовым формам │

│ │ │ │установлены Постановлением │

│ │ │ │Правительства РФ от 15 │

│ │ │ │сентября 2008 г. N 687 "Об │

│ │ │ │утверждении Положения об │

│ │ │ │особенностях обработки │

│ │ │ │персональных данных, │

│ │ │ │осуществляемой без │

│ │ │ │использования средств │

│ │ │ │автоматизации" │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│20 │Журналы (реестры, книги), │Пункт 67.1 │Требования к ведению │

│ │содержащие персональные данные, │регламента │установлены Постановлением │

│ │необходимые для однократного │Роскомнадзора │Правительства РФ от 15 │

│ │пропуска субъекта персональных │ │сентября 2008 г. N 687 "Об │

│ │данных на территорию организации БС │ │утверждении Положения об │

│ │РФ, или в иных аналогичных целях │ │особенностях обработки │

│ │ │ │персональных данных, │

│ │ │ │осуществляемой без │

│ │ │ │использования средств │

│ │ │ │автоматизации" │

│ │ │ │Шаблон журнала разовых │

│ │ │ │пропусков - в Приложении 9 │

│ │ │ │Журнал может вестись как в │

│ │ │ │бумажном, так и в электронном │

│ │ │ │виде. │

│ │ │ │В случае ведения журнала в │

│ │ │ │электронном виде в конце │

│ │ │ │установленного периода времени│

│ │ │ │журнал распечатать, │

│ │ │ │пронумеровать, сброшюровать, │

│ │ │ │скрепить печатью и подписать │

│ │ │ │работником, на которого │

│ │ │ │возложены соответствующие │

│ │ │ │обязанности │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│21 │Договоры с субъектами персональных │Пункт 67.1 │ │

│ │данных │регламента │ │

│ │ │Роскомнадзора │ │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│22 │Типовая форма письменного согласия │Пункт 64.1.4 │Шаблон документа - в │

│ │субъектов персональных данных на │регламента │Приложении 10 │

│ │обработку их персональных данных │Роскомнадзора │ │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│23 │Документы, содержащие письменные │Пункт 64.1.4 │Письменные согласия получает │

│ │согласия субъектов персональных │регламента │организация БС РФ в │

│ │данных на обработку их персональных │Роскомнадзора │установленных │

│ │данных │ │законодательством случаях │

│ │ │ │от клиентов и работников │

│ │ │ │организации БС РФ, от их │

│ │ │ │родственников, и других │

│ │ │ │субъектов, персональные данные│

│ │ │ │которых обрабатывает │

│ │ │ │организация БС РФ │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│24 │Журналы (книги) учета обращений │Пункт 67.1 │Шаблон документа - в │

│ │граждан (субъектов персональных │регламента │Приложении 11 │

│ │данных) по вопросам обработки │Роскомнадзора │Журналы могут вестись как в │

│ │персональных данных организацией БС │ │бумажном, так и в электронном │

│ │РФ │ │виде. │

│ │ │ │В случае ведения журнала в │

│ │ │ │электронном виде в конце │

│ │ │ │установленного периода времени│

│ │ │ │журнал распечатать, │

│ │ │ │пронумеровать, сброшюровать, │

│ │ │ │скрепить печатью и подписать │

│ │ │ │работником, на которого │

│ │ │ │возложены соответствующие │

│ │ │ │обязанности │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│25 │Акт об уничтожении персональных │Пункт 64.1.6 │Шаблон документа - в │

│ │данных субъекта(ов) персональных │регламента │Приложении 12 │

│ │данных (в случае достижения цели │Роскомнадзора │ │

│ │обработки) │ │ │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│26 │Документы, содержащие свидетельства │Пункт 64.1.3 │1. В том случае, если ранее │

│ │выполнения организацией предписаний │регламента │проводились проверки. │

│ │об устранении ранее выявленных │Роскомнадзора │2. Примерами таких документов │

│ │нарушений законодательства │ │могут быть планы устранения │

│ │Российской Федерации в области │ │выявленных нарушений и │

│ │персональных данных │ │свидетельства выполнения │

│ │ │ │выявленных нарушений │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│27 │Подтверждение соответствия │Разделы III и IV │Шаблон документа - в │

│ │организации БС РФ стандарту Банка │Рекомендаций │Приложении 13 │

│ │России СТО БР ИББС-1.0-2010 │ │ │

└────┴────────────────────────────────────┴─────────────────┴──────────────────────────────┘

┌────┬────────────────────────────────────┬─────────────────┬──────────────────────────────┐

│28 │Акты ввода СКЗИ в эксплуатацию. │Регламент ФСБ │Допускается не составлять акты│

│ │Документы, содержащие описание │Документы ФСБ │ввода СКЗИ в эксплуатацию. При│

│ │соответствия размещения и монтажа │ │этом составляется заключение о│

│ │СКЗИ требованиям документации на │ │возможности эксплуатации СКЗИ │

│ │СКЗИ │ │(по результатам проверки │

│ │ │ │готовности СКЗИ к │

│ │ │ │использованию и соответствия │

│ │ │ │размещения, монтажа и настроек│

│ │ │ │СКЗИ требованиям документации │

│ │ │ │на СКЗИ). Шаблон документа - в│

│ │ │ │Приложении 7. Допускается │

│ │ │ │издание актов ввода в │

│ │ │ │эксплуатацию АБС, в состав │

│ │ │ │которых входят СКЗИ │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│29 │Журнал поэкземплярного учета СКЗИ │Регламент ФСБ │Шаблон документа - в │

│ │ │Документы ФСБ │Приложении 14 │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│30 │Порядок организации контроля за │Регламент ФСБ │Может быть написан явно или │

│ │соблюдением условий использования │Документы ФСБ │содержаться в Методике │

│ │СКЗИ │ │внутреннего контроля │

│ │ │ │безопасности организации БС РФ│

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│31 │Договора на приобретение СКЗИ │Регламент ФСБ │ │

│ │организации БС РФ (купли-продажи, │Документы ФСБ │ │

│ │обмена) │ │ │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│32 │Лицензии и сертификаты на │Регламент ФСБ │ │

│ │используемые СКЗИ (или разрешения │Документы ФСБ │ │

│ │ФСБ на использования СКЗИ) │ │ │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│33 │Эксплуатационная документация на │Регламент ФСБ │Предоставляется разработчиком │

│ │СКЗИ │Документы ФСБ │или поставщиком средств и │

│ │ │ │систем защиты информации │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│34 │Приказ о назначении лиц │Регламент ФСБ │Шаблон документа - в │

│ │(пользователей СКЗИ), допущенных к │Документы ФСБ │Приложении 15 │

│ │работе с ключами СКЗИ │ │ │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│35 │Документы, подтверждающие │Регламент ФСБ │Должностные инструкции и │

│ │функциональные обязанности │Документы ФСБ │регламенты │

│ │работников организации БС РФ │ │ │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│36 │Документы, подтверждающие │Регламент ФСБ │Сертификаты, справки, отчеты и│

│ │прохождение обучения работников │Документы ФСБ │др. │

│ │организации БС РФ │ │ │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│37 │Журнал учета криптографических │Регламент ФСБ │Шаблон документа - в │

│ │ключей │Документы ФСБ │Приложении 16 │

├────┼────────────────────────────────────┼─────────────────┼──────────────────────────────┤

│38 │Акт о комиссионном уничтожении │Регламент ФСБ │Шаблон документа - в │

│ │криптографических ключей │Документы ФСБ │Приложении 17 │

└────┴────────────────────────────────────┴─────────────────┴──────────────────────────────┘