Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.

Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения

Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014

Р. 7 п. 10

Для проведения оценки соответствия по документу войдите в систему.
7.10.4.1. Для каждого ресурса ПДн должно быть обеспечено:
  • установление цели обработки ПДн;
  • установление и соблюдение сроков хранения ПДн и условий прекращения их обработки;
  • определение перечня и категорий обрабатываемых ПДн (специальные категории ПДн, биометрические ПДн, ПДн, полученные из общедоступных источников, или иные ПДн);
  • выполнение процедур учета количества субъектов ПДн, в том числе субъектов ПДн, не являющихся работниками организации БС РФ;
  • выполнение ограничения обработки ПДн достижением цели обработки ПДн;
  • соответствие содержания и объема обрабатываемых ПДн установленным целям обработки;
  • точность, достаточность и актуальность ПДн, в том числе по отношению к целям обработки ПДн;
  • выполнение установленных процедур получения согласия субъектов ПДн (их законных представителей) на обработку их ПДн, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона "О персональных данных";
  • выполнение установленных процедур получения согласия субъектов ПДн на передачу обработки их ПДн третьим лицам, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона "О персональных данных";
  • прекращение обработки ПДн и уничтожение либо обезличивание ПДн по достижении целей обработки, по требованию субъекта ПДн в случаях, предусмотренных Федеральным законом "О персональных данных", в том числе при отзыве субъектом ПДн согласия на обработку его ПДн.
7.10.4.2. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры прекращения обработки ПДн и их уничтожения либо обезличивания в сроки, установленные Федеральным законом "О персональных данных", в следующих случаях:
  • по достижении цели обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между организацией БС РФ и субъектом ПДн);
  • отзыва субъектом ПДн согласия на обработку его ПДн и в случае, если сохранение ПДн более не требуется для целей обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между организацией БС РФ и субъектом ПДн);
  • если ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • выявления неправомерной обработки ПДн, осуществляемой организацией БС РФ или обработчиком, действующим по ее поручению, если обеспечить правомерность обработки ПДн невозможно;
  • выявления неправомерной обработки ПДн без согласия субъекта ПДн.
7.10.5.1. Указанные документы: 
  • определяют процедуры предоставления доступа к ПДн; 
  • определяют процедуры внесения изменений в ПДн с целью обеспечения их точности, достоверности и актуальности, в том числе по отношению к целям обработки ПДн; 
  • определяют процедуры уничтожения, обезличивания либо блокирования ПДн в случае необходимости выполнения таких процедур; 
  • определяют процедуры обработки обращений субъектов ПДн (их законных представителей) для случаев, предусмотренных Федеральным законом “О персональных данных”, в частности порядок подготовки информации о наличии ПДн, относящихся к конкретному субъекту ПДн, информации, необходимой для предоставления возможности ознакомления субъектом ПДн (их законными представителями) с его ПДн, а также процедуры обработки обращений об уточнении ПДн, их блокировании или уничтожении, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для установленной цели обработки; 
  • определяют процедуры обработки запроса уполномоченного органа по защите прав субъектов ПДн; 
  • определяют процедуры получения согласия субъекта ПДн на обработку его ПДн и на передачу обработки его ПДн третьим лицам; 
  • определяют процедуры передачи ПДн между пользователями ресурса ПДн, предусматривающего передачу ПДн только между работниками организации БС РФ, имеющими доступ к ПДн; 
  • определяют процедуры передачи ПДн третьим лицам; 
  • определяют процедуры работы с материальными носителями ПДн; 
  • определяют процедуры, необходимые для осуществления уведомления уполномоченного органа по защите прав субъектов ПДн об обработке ПДн в сроки, установленные Федеральным законом “О персональных данных”; 
  • определяют необходимость применения типовых форм документов для осуществления обработки ПДн и процедуры работы с ними. Под типовой формой документа понимается шаблон, бланк документа или другая унифицированная форма документа, используемая организацией БС РФ с целью сбора ПДн. 
7.10.7. В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры учета лиц, имеющих доступ к ПДн. 
Документ, определяющий перечень лиц, имеющих доступ к ПДн, утверждается руководителем организации БС РФ. 
Обработка ПДн работниками организации БС РФ должны осуществляться только с целью выполнения их должностных обязанностей. 
В организации БС РФ должны быть определены, выполняться, регистрироваться и контролироваться процедуры ознакомления работников организации БС РФ, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ и внутренними документами организации БС РФ, содержащими требования по обработке и обеспечению безопасности ПДн в части, касающейся их должностных обязанностей. Организация БС РФ может проводить указанное ознакомление работников в ходе проведения мероприятий по их обучению или повышению осведомленности. 
7.10.9. При работе с материальными носителями ПДн должно быть обеспечено:
  • обособление ПДн от иной информации, в частности, путем фиксации их на отдельных съемных носителях ПДн, в специальных разделах или на полях форм документов (при обработке ПДн на бумажных носителях);
  • учет съемных носителей ПДн;
  • установление, выполнение и контроль выполнения порядка хранения съемных, в том числе машинных, носителей ПДн и доступа к ним;
  • хранение ПДн, цели обработки которых заведомо несовместимы, на отдельных съемных носителях;
  • регистрация и учет мест хранения материальных носителей ПДн с фиксацией категории обрабатываемых персональных данных (специальные категории ПДн, биометрические ПДн, ПДн, полученные из общедоступных источников, или иные ПДн) включая раздельное хранение ресурсов ПДн, обработка которых осуществляется с различными целями;
  • назначение работников, ответственных за организацию хранения материальных носителей ПДн;
  • установление и выполнение порядка уничтожения (стирания) информации с машинных носителей ПДн. 
Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. 

Связанные защитные меры

Название Дата Влияние
Community
4 22 / 36
Проведение периодического уничтожения персональных данных
Ежеквартально Вручную Организационная
04.12.2022
04.12.2022 4 22 / 36
Цель: соблюдение требований законодательства
Перед запуском процедуры она должна быть описана, как самостоятельный документ или в составе другого документа, например, в Положении об обработке персональных данных.
По результатам проведения процедуры должны сохраняться свидетельства. В частности, Акты об уничтожении персональных данных.
Уничтожение ПДн может проводиться как периодически так и по наступлению событий, например, поступлению запроса от субъекта ПДн.
Процедура может проводиться в составе иных периодических процедур, например, контроля соответствия или актуализации анкет на ИСПДн.

Рекомендации к заполнению карточки:
- Создать задачу (ежегодную, ежеквартальную) на проведение работ по уничтожению ПДн
- Прикладывать в заметки к карточке скан-копии актов об уничтожении ПДн