Соответствие требованиям

Куда я попал?

SECURITM это SGRC система, автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.

Подробнее

Наш канал

Положение Банка России № 719-П от 04.06.2020

О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств

Глава 1 п. 6

Для проведения оценки соответствия по документу войдите в систему.

Список требований

Глава 1. Общие положения
1.6. В случае если защищаемая информация содержит персональные данные, должны применяться меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2011, № 31, ст. 4701).

Обеспечение защиты персональных данных осуществляется в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», зарегистрированным Министерством юстиции Российской Федерации 14 мая 2013 года № 28375, 25 апреля 2017 года № 46487.

Похожие требования

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения":

Р. 7 п. 10 п.п. 1

7.10.1. Руководство организации БС РФ должно установить цели обработки персональных данных (далее - ПДн).

Р. 7 п. 10 п.п. 9

7.10.9. При работе с материальными носителями ПДн должно быть обеспечено:

обособление ПДн от иной информации, в частности, путем фиксации их на отдельных съемных носителях ПДн, в специальных разделах или на полях форм документов (при обработке ПДн на бумажных носителях);
учет съемных носителей ПДн;
установление, выполнение и контроль выполнения порядка хранения съемных, в том числе машинных, носителей ПДн и доступа к ним;
хранение ПДн, цели обработки которых заведомо несовместимы, на отдельных съемных носителях;
регистрация и учет мест хранения материальных носителей ПДн с фиксацией категории обрабатываемых персональных данных (специальные категории ПДн, биометрические ПДн, ПДн, полученные из общедоступных источников, или иные ПДн) включая раздельное хранение ресурсов ПДн, обработка которых осуществляется с различными целями;
назначение работников, ответственных за организацию хранения материальных носителей ПДн;
установление и выполнение порядка уничтожения (стирания) информации с машинных носителей ПДн.

Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн.

Р. 7 п. 11 п.п. 2

7.11.2. Реализация требований по обеспечению ИБ, установленных в разделе 7 и разделе 8 настоящего стандарта, рекомендуется для обеспечения выполнения требований к защите персональных данных для третьего и четвертого уровня защищенности ПДн при их обработке в ИСПДн, установленных Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”.

Р. 7 п. 10 п.п. 4 п.п.п. 2

7.10.4.2. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры прекращения обработки ПДн и их уничтожения либо обезличивания в сроки, установленные Федеральным законом "О персональных данных", в следующих случаях:

по достижении цели обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между организацией БС РФ и субъектом ПДн);
отзыва субъектом ПДн согласия на обработку его ПДн и в случае, если сохранение ПДн более не требуется для целей обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между организацией БС РФ и субъектом ПДн);
если ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
выявления неправомерной обработки ПДн, осуществляемой организацией БС РФ или обработчиком, действующим по ее поручению, если обеспечить правомерность обработки ПДн невозможно;
выявления неправомерной обработки ПДн без согласия субъекта ПДн.

Р. 7 п. 10 п.п. 4 п.п.п. 1

7.10.4.1. Для каждого ресурса ПДн должно быть обеспечено:

установление цели обработки ПДн;
установление и соблюдение сроков хранения ПДн и условий прекращения их обработки;
определение перечня и категорий обрабатываемых ПДн (специальные категории ПДн, биометрические ПДн, ПДн, полученные из общедоступных источников, или иные ПДн);
выполнение процедур учета количества субъектов ПДн, в том числе субъектов ПДн, не являющихся работниками организации БС РФ;
выполнение ограничения обработки ПДн достижением цели обработки ПДн;
соответствие содержания и объема обрабатываемых ПДн установленным целям обработки;
точность, достаточность и актуальность ПДн, в том числе по отношению к целям обработки ПДн;
выполнение установленных процедур получения согласия субъектов ПДн (их законных представителей) на обработку их ПДн, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона "О персональных данных";
выполнение установленных процедур получения согласия субъектов ПДн на передачу обработки их ПДн третьим лицам, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона "О персональных данных";
прекращение обработки ПДн и уничтожение либо обезличивание ПДн по достижении целей обработки, по требованию субъекта ПДн в случаях, предусмотренных Федеральным законом "О персональных данных", в том числе при отзыве субъектом ПДн согласия на обработку его ПДн.

Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Приложение А":

А.8.11

А.8.11 Скрытие данных
Скрытие данных должно использоваться с учетом применимого законодательства в соответствии со специфической тематической политикой организации по контролю доступа, а также иными относящимися к этому вопросу тематическими политиками и бизнес-требованиями.

Положение Банка России № 757-П от 20.04.2021 "Об установлении обязательных для некредитных финансовых организаций требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков в целях противодействия осуществлению незаконных финансовых операций":

1.1.

1.1. Некредитные финансовые организации в целях противодействия осуществлению незаконных финансовых операций при осуществлении деятельности в сфере финансовых рынков, предусмотренной частью первой статьи 76_1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", должны осуществлять защиту следующей информации, получаемой, подготавливаемой, обрабатываемой, передаваемой и хранимой в автоматизированных системах, используемых некредитными финансовыми организациями (далее соответственно - автоматизированные системы, защищаемая информация, защита информации):

информации, содержащейся в документах, составляемых при осуществлении финансовых операций в электронном виде работниками некредитных финансовых организаций и (или) клиентами некредитных финансовых организаций (далее - электронные сообщения);
информации, необходимой некредитным финансовым организациям для авторизации своих клиентов в целях осуществления финансовых операций и удостоверения права клиентов распоряжаться денежными средствами, ценными бумагами или иным имуществом;
информации об осуществленных некредитными финансовыми организациями и их клиентами финансовых операциях;
ключевой информации средств криптографической защиты информации, используемой некредитными финансовыми организациями и их клиентами при осуществлении финансовых операций (далее - криптографические ключи).

В случае если защищаемая информация содержит персональные данные, некредитные финансовые организации должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").

Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Annex A":

А.8.11

А.8.11 Data masking
Data masking shall be used in accordance with the organization’s topic-specific policy on access control and other related topic-specific, and business requirements, taking applicable legislation into consideration.

Связанные защитные меры

	Название	Дата	Влияние
Community 1 9 / 28	Утверждение приказа о назначении ответственного за организацию обработки персональных данных Вручную Организационная 19.06.2023	19.06.2023	1 9 / 28
Community 1 17 / 38	Разработка Политики обработки персональных данных Вручную Организационная 19.11.2022	19.11.2022	1 17 / 38

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.