Приказ Банка России от 15.05.2025 N ОД-950 "Об утверждении Политики обработки персональных данных в Банке России и отмене приказа Банка России от 22.08.2018 N ОД-2189"

Глава 8. Обеспечение безопасности персональных данных

8.1. Обеспечение безопасности персональных данных, в том числе при их обработке в информационных системах Банка России, осуществляется Банком России в соответствии с законодательством Российской Федерации, включая требования уполномоченного органа по защите прав субъектов персональных данных, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, а также в соответствии с нормативными и иными актами Банка России.

8.2. При обработке персональных данных Банк России принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных (несанкционированных) действий в отношении персональных данных.

8.3. Обеспечение безопасности персональных данных при их обработке в Банке России достигается применением в том числе следующих мер:

8.3.1. Назначение ответственного за организацию обработки персональных данных в Банке России.

8.3.2. Определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Банка России.

8.3.3. Издание нормативных и иных актов Банка России по вопросам обработки персональных данных.

8.3.4. Определение перечня ресурсов персональных данных, используемых в Банке России.

8.3.5. Ознакомление работников Банка России, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой обработки ПД, нормативными и иными актами Банка России по вопросам обработки персональных данных, и (или) обучение указанных работников.

8.3.6. Обеспечение учета и хранения материальных носителей персональных данных в условиях, обеспечивающих сохранность и предотвращение несанкционированного доступа к ним.

8.3.7. Реализация разрешительной системы доступа пользователей ресурсов персональных данных к таким ресурсам, программно-аппаратным средствам обработки и защиты информации.

8.3.8. Регистрация и учет действий пользователей ресурсов персональных данных в информационных системах персональных данных Банка России.

8.3.9. Применение средств разграничения и контроля доступа к информационным системам персональных данных Банка России, коммуникационным портам, устройствам ввода-вывода информации, машинным носителям информации.

8.3.10. Реализация парольной защиты при осуществлении доступа пользователей ресурсов персональных данных к информационным системам персональных данных Банка России.

8.3.11. Реализация многофакторной аутентификации при логическом доступе пользователей ресурсов персональных данных к информационным системам персональных данных Банка России.

8.3.12. Применение средств восстановления системы защиты персональных данных.

8.3.13. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

8.3.14. Применение средств межсетевого экранирования.

8.3.15. Организация защиты информационных систем персональных данных Банка России от воздействия вредоносного кода.

8.3.16. Применение средств криптографической защиты информации для обеспечения безопасности персональных данных при их передаче по открытым каналам связи.

8.3.17. Применение для уничтожения персональных данных прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации, в том числе средств гарантированного уничтожения (стирания) информации, содержащей персональные данные, или приведения носителей персональных данных в состояние, в котором чтение и (или) восстановление содержащихся в них персональных данных невозможно.

8.3.18. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, указанных в нормативных и иных актах Банка России по обеспечению информационной безопасности, направленных на предотвращение несанкционированного доступа к персональным данным.

8.3.19. Резервное копирование информации, отнесенной к персональным данным.

8.3.20. Обеспечение в информационных системах персональных данных Банка России восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним либо ошибочных действий пользователей ресурсов персональных данных.

8.3.21. Обучение работников Банка России, использующих средства защиты информации, применяемые в информационных системах персональных данных Банка России, правилам работы с ними.

8.3.22. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных Банка России.

8.3.23. Осуществление внутреннего контроля за соответствием принятых мер по защите персональных данных требованиям законодательства Российской Федерации, нормативных и иных актов Банка России по вопросам обработки персональных данных.

8.3.24. Обеспечение пропускного и внутриобъектового режимов на объектах Банка России, включая размещение технических средств обработки персональных данных в пределах границ охраняемой территории, а также зон ограничения доступа, определенных ведомственными техническими требованиями.

Глава 7. Уточнение, блокирование, прекращение обработки и уничтожение персональных данных Глава 9. Заключительные положения