Обеспечение безопасности организации

Комплексный подход в обеспечении безопасности организации накладывает ряд необходимых условий, которые будут детально рассмотрены и проработаны в процессе выполнения настоящей курсовой работы.

Необходимо выделить три основных направления, по которым и будет проводиться обеспечение комплексной безопасности в ОАО “Росбанк”, это:

ü Методическое;

ü Организационное;

ü Техническое.

Анализ защищаемой информации

Ввиду того, что в законодательстве РФ ясно прослеживается грань между понятиями коммерческая тайна, персональные данные и банковская тайна, были выделены следующие сведения, которые соответственно подпадают под:

a) Банковская тайна:

ü Банковские счета;

ü Операции по банковским счетам;

ü Банковские вклады;

ü Тайна частной жизни клиента / корреспондента – это сведения о клиенте или корреспонденте, составляющие его личную, семейную тайну и сохраняемые законом как персональные данные этого клиента или корреспондента.

b) Коммерческая информация – это вся информация, которая действительно или потенциально коммерчески ценна, т.е. обладатель, имеет финансовую заинтересованность в ней и её охране.

c) Персональные данные – это любая информация на бумажных носителях (договора и т.д.), относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес и т.д. полученная в процессе осуществления рабочей деятельности банком.

Персональные данные

Классификация персональных данных

На основании Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ персональные данные в ОАО “Росбанк” обрабатываются неавтоматизированными средствами обработки информации.

Основные документы

В состав основных документов по обработке и работе с персональными данными входят:

1. Уведомление об обработке (о намерении осуществлять обработку) персональных данных (Приложение 3);
2. Положение об обработке персональных данных (Приложение 4);
3. Типовые формы письменного согласия субъектов персональных данных на обработку их персональных данных (Приложение 5).

Переход от персональных данных к банковской тайне

В соответствии с Федеральным законом “О банках и банковской деятельности” от 02.12.1990 N 395-1 ст. 26 и Федеральным законом “О персональных данных” от 27.07.2006 N 152-ФЗ к защищаемым персональным данным относятся:

ü ФИО;

ü Адрес;

ü Место работы;

ü Семейное положение.

Это не противоречит банковской тайне и защищаемым персональным данным, а лишь упрощает, делает более понятной и устойчивой организационную систему защиты информации банка.

Коммерческая тайна

К коммерческой тайне ОАО “Росбанк” относятся:

1. Деловая информация о деятельности Банка;
2. Финансовая документация;
3. Сметы, отчёты;
4. Перспективные планы развития;
5. Аналитические материалы и исследования.

 

Рекомендации по обеспечению безопасности

Обеспечение защиты персональных данных

Основные этапы

Проектирование защиты персональных данных включает в себя:

1. Предпроектное обследование;
2. Разработка нормативной базы;
3. Внедрение;
4. Оценка соответствия ИСПДн.

Защита персональных данных

Ниже, представлен перечень локальных актов и документов, необходимых для реализации требований законодательства по защите персональных данных. Локальные нормативные акты оформляются и используются в работе банка в соответствии с требованиями законодательства РФ.

№	Акт, документ	Нормативный правовой акт	Требование нормативно-правового акта
1	Акты оператора персональных данных (положение, инструкция), содержащие требования к обеспечению конфиденциальности персональных данных.	ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 года N 152-ФЗ «О персональных данных».	Статья 7. Конфиденциальность персональных данных 1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных.
2	Согласие в письменной форме субъекта персональных данных на обработку своих персональных данных.	ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 года N 152-ФЗ «О персональных данных».	Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных 1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе 4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
3	Документы, подтверждающие предоставление субъекту персональных данных определенной Федеральным Законом «О персональных данных» информации, в случае если персональные данные были получены не от субъекта персональных данных.	ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 года N 152-ФЗ «О персональных данных».	Статья 18. Обязанности оператора при сборе персональных данных 3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: 1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных.
4	Документы, содержащие положения о принятии оператором персональных данных организационных и технических мер для защиты персональных данных.	ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 года N 152-ФЗ «О персональных данных».	Статья 19. Меры по обеспечению безопасности персональных данных при их обработке) 1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
5	Уведомление об обработке персональных данных.	ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 года N 152-ФЗ «О персональных данных».	Статья 22. Уведомление об обработке персональных данных 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи 22.1)
6	Положение об обработке персональных данных, осуществляемой без использования средств автоматизации.	ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687.	3. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящего Положения.
7	Документ, подтверждающий информирование лиц, осуществляющих обработку персональных данных.	ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687.	6. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
8	Типовые формы документов, разработанные в соответствии с требованиями данного Положения.	ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687.	7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия: а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных; б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных; в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных; г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
9	Акт оператора, устанавливающий требования к хранению материальных носителей содержащих персональных данных.	ПОЛОЖЕНИЕ об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации УТВЕРЖДЕНО постановлением Правительства Российской Федерации от 15 сентября 2008 года N 687.	15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.
10	Акт оператора персональных данных, устанавливающий порядок обработки персональных данных работников.	ТРУДОВОЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ от 30 декабря 2001 года N 197-ФЗ Статья 86. Общие требования при обработке персональных данных работника и гарантии их защиты.	8) работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
11	Акт оператора персональных данных, устанавливающий порядок хранения и использования персональных данных работников.	ТРУДОВОЙ КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ от 30 декабря 2001 года N 197-ФЗ Статья 87. Хранение и использование персональных данных работников.	Порядок хранения и использования персональных данных работников устанавливается работодателем.

В соответствии с Постановлением Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации", в банке было выделено соответствующее для этого помещение оборудованное стеллажами для временного хранения персональных данных. В конце рабочего дня собранные в данном помещении данные отвозятся в Центральный Архив ОАО “Росбанк”.