Куда я попал?
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014
Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения
Р. 7 п. 11 п.п. 9
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
Приказ МЦРИАП РК № 179/НК от 12.06.2023 "Приказ Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 12 июня 2023 года № 179/НК":
Глава 2 / 7 абз.2
Собственник и (или) оператор, а также третье лицо при обработке персональных данных ограниченного доступа:
1) определяют перечень лиц, имеющих доступ к персональным данным ограниченного доступа;
2) оповещают уполномоченный орган об инцидентах информационной безопасности, связанных с незаконным доступом к персональным данным ограниченного доступа;
3) обеспечивают установку средств защиты информации, обновлений программного обеспечения на технических средствах, осуществляющих обработку персональных данных ограниченного доступа;
4) обеспечивают ведение журнала событий систем управления базами;
5) обеспечивают ведение журнала действий пользователей, имеющих доступ к персональным данным ограниченного доступа;
6) применяют средства контроля целостности персональных данных ограниченного доступа;
7) обеспечивают передачу персональных данных ограниченного доступа иным лицам по защищенным каналам связи и (или) с применением шифрования и при наличии согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Казахстан;
8) выделяют бизнес-процессы, содержащие персональные данные ограниченного доступа;
9) обеспечивают применение средств криптографической защиты информации для надежного хранения персональных данных ограниченного доступа;
10) применяют средства идентификации и (или) аутентификации пользователей при работе с персональными данными ограниченного доступа.
Глава 2 / 5
5. Для обеспечения защиты персональных данных необходимо:
1) выделение бизнес-процессов, содержащих персональные данные;
2) разделение персональных данных на общедоступные и ограниченного доступа;
3) определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;
4) назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в пункте 3 статьи 25 Закона. Действие настоящего подпункта 4) не распространяется на обработку персональных данных в деятельности судов.
5) установление порядка доступа к персональным данным.
6) утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;
7) по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона.
8) в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных уведомление уполномоченного органа о данном нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии);
1) выделение бизнес-процессов, содержащих персональные данные;
2) разделение персональных данных на общедоступные и ограниченного доступа;
3) определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;
4) назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в пункте 3 статьи 25 Закона. Действие настоящего подпункта 4) не распространяется на обработку персональных данных в деятельности судов.
5) установление порядка доступа к персональным данным.
6) утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;
7) по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона.
8) в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных уведомление уполномоченного органа о данном нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии);
Подпункт 8 пункта 5 вводится в действие с 1 июля 2024 года
9) в случае взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечение интеграции собственных объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом контроля доступа к персональным данным, за исключением случаев, предусмотренных подпунктами 1), 2), 9) и 9-2) статьи 9 Закона.
При сборе и обработке персональных данных в объектах информатизации дополнительно необходимо обеспечение сохранности носителей персональных данных.
При сборе и обработке персональных данных в объектах информатизации дополнительно необходимо обеспечение сохранности носителей персональных данных.
Постановление Правительства РФ № 1119 от 01.11.2012 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных":
Пункт 14
14. Для обеспечения 3-го уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 13 настоящего документа, необходимо, чтобы было назначено должностное лицо (работник), ответственный за обеспечение безопасности персональных данных в информационной системе.
Приказ ФСБ России № 378 от 10.07.2014 "Состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации":
Глава III п. 16
16. В соответствии с пунктом 14 Требований к защите персональных данных для обеспечения 3 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 5 настоящего документа, необходимо выполнение требования о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.