ГОСТ Р ИСО ТО 13569—2007
Организационно-распорядительные документы финансовых учреждений должны учитывать нормы
обеспечения неприкосновенности частной жизни, например положения (руководства), связанные с инфор
мацией о кредитах. Следует также быть в курсе новых принимаемых национальных нормативных правовых
актов о неприкосновенности частной жизни путем использования источников банковской индустрии или
других независимых источников информации, а также консультации специалистов юридических отделов
банков. Кроме того, банковские служащие, осуществляющие международные операции, должны обладать
знаниями о региональных, международных и других законах и связанных с ними положениях обеспечения
неприкосновенности частной жизни.
Финансовые учреждениядолжны анализировать свои операции с целью определения адекватности
защиты информации о своих клиентах и служащих. Необходиморазработать конкретную политику и проце
дуры. касающиеся сбора, использования и защиты информации. Данная политика и процедуры должны
бытьдоведены до сведения соответствующих служащих. Политика и процедуры обеспечения неприкосно
венности частной жизни должны предусматривать:
- сбордостоверных и точных сведений, которыеобеспечивают получение обозначенной финансовой
потребности;
- обработку информации с целью обеспечения соответствующих ограничений доступа, включая опре
деление круга лиц, которыедолжны иметьдоступ к информации, контроль качества во избежание ошибок
при вводе или обработке данных и защиту от непреднамеренного несанкционированного доступа;
- совместное использование информации посредством заранее определенных процедур с тем. чтобы
информация использовалась для целей, имеющих отношение к причинам ее первоначального сбора, и
коллективное использование информации не приводило к появлению новых возможностей несанкциониро
ванного вторжения в частную жизнь:
- хранение информации с гарантией ее защиты от несанкционированногодоступа:
- уведомление об использовании информации и наличие процедур, позволяющих лицу, чья информа
ция находится на хранении, исправлять в ней ошибки и запрещать использование этой информации:
- уничтожениеставшей ненужной информации.
Кроме того, электронные и другие формы контроля задействиями сотрудников должны соответство
вать требованиям организационно-распорядительных документов, которые различаются по области ответ
ственности и распространения. Вдополнение к правам работодателей должны учитываться защита персо
нальной информации служащих и их права.
Финансовые учреждениядолжны рассмотреть возможности проведения аудита неприкосновенности
частной жизни. В ходе этого аудита проводится оценка, насколько хорошо организация выполняет защиту
персональной информации, и рассматриваются способы, которыми ИТ может решать проблемы обеспече
ния неприкосновенности частной жизни.
13 Дополнительные защитные меры
13.1 Поддержка функционирования защитных мер
Поддержка функционирования защитных мер. включающая администрирование этих защитных мер,
является важной частью программы обеспечения безопасности финансового учреждения. Обязанностью
руководства на всех уровнях является обеспечение:
- четкого определения обязанностей по поддержке защитных мер;
- выделения ресурсов организации для поддержки защитных мер;
- периодической проверки и переоценки защитных мер с целью обеспечения продолжения их нор
мального функционирования:
- отсутствия воздействия изменений аппаратных/программных средств и обновлений системы ИТ на
предполагаемую эффективностьсуществующих защитных мер.
- отсутствия появления новых угроз или уязвимостей вследствиедостижений в области технологий:
- обновления защитных мер и (или)добавления новых защитных мер при появлении новых требова
ний.
- пересмотра и корректировки политики безопасности или добавление новой политики вследствие
изменений защитных мер.
При условии выполнения описанных выше мероприятий поддержки можно избежать неблагоприят
ных и дорогостоящих последствий.
34