Публичное акционерное общество "Сбербанк России"

 
Регистрационный номер 11-0187199
Дата и основание внесения оператора в реестр Приказ № 229 от 06.04.2011
Наименование оператора Публичное акционерное общество "Сбербанк России"
ИНН 7707083893
Адрес местонахождения 117997, г. Москва, ул. Вавилова, д. 19 
Дата регистрации уведомления 24.03.2011
Субъекты РФ, на территории которых происходит обработка персональных данных
Цель обработки персональных данных с целью: • исполнения требований законодательства Российской Федерации; • осуществления банковских операций и сделок в соответствии с Уставом Банка и выданными Банку лицензиями на совершение банковских и иных операций; • заключения с субъектами персональных данных любых договоров и их дальнейшего исполнения; • проведения Банком акций, опросов, исследований; • предоставления субъектам персональных данных информации об оказываемых Банком услугах, о разработке Банком новых продуктов и услуг; об услугах дочерних обществ Банка; информирования клиентов о предложениях по продуктам и услугам Банка; • ведения кадровой работы и организации учета работников Банка; • регулирования трудовых и иных, непосредственно связанных с ними отношений; • привлечения и отбора кандидатов на работу в Банке; • формирования статистической отчетности, в том числе для предоставления Банку России; • выявления случаев мошенничества, хищения денежных средств со счета, иных противоправных действий, предотвращения таких противоправных действий в дальнейшем и локализации последствий таких действий; • осуществления Банком административно-хозяйственной деятельности; • достижения целей, предусмотренных международными договорами Российской Федерации или законами, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей.
Правовое основание обработки персональных данных Конституцией Российской Федерации, Федеральным законом от 02.12.1990 № 395-1 «О банках и банковской деятельности», Гражданским кодексом Российской Федерации от 30.11.1994 № 51-ФЗ, Федеральным законом от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг», Федеральным законом от 01.04.996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», Налоговым кодексом Российской Федерации от 31.07.1998 № 146-ФЗ, Трудовым кодексом Российской Федерации от 30.12.2001 № 197-ФЗ, Федеральным законом от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», Федеральным законом от 10.12.2003 № 173-ФЗ «О валютном регулировании и валютном контроле», Федеральным законом от 30.12.2004 № 218-ФЗ «О кредитных историях», Федеральным законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете», Уставом ПАО Сбербанк, а также на основании: • согласия соискателя на замещение вакантных должностей на обработку персональных данных; • согласия работника на обработку персональных данных; • согласия клиента на обработку персональных данных; • договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
описание мер, предусмотренных ст. 18.1 и 19 Закона 1. Приказом Президента, Председателя Правления ПАО Сбербанк назначено лицо, ответственное за организацию обработки персональных данных. 2. В целях выполнения Банком обязанностей, предусмотренных ст. ст. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», изданы и введены в действие внутренние нормативные документы, определяющие политику Банка в отношении обработки персональных данных, нормативные документы Банка по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений: • Стратегия информационной безопасности ОАО «Сбербанк России» от 20.10.2014 № 516 §1; • Политика обработки персональных данных в ПАО «Сбербанк России» от 29.04.2014 № 3324; • Политика кибербезопасности ПАО Сбербанк от 20.11.2017 № 4660; • Политика управления процессами ОАО «Сбербанк России» от 28.02.2014 № 1995-2; • Политика ОАО «Сбербанк России» по обмену данными с третьими лицами от 30.06.2015 № 3904; • Положение о порядке обработки и защиты прав субъектов персональных данных в части организации управления персоналом ОАО «Сбербанк России» от 04.02.2013 № 2749; • Порядок работы в ОАО «Сбербанк России» с документами, содержащими конфиденциальную информацию от 18.07.2005 № 1091-2-р; • Сборник стандартов по обеспечению кибербезопасности от 24.01.2017 № 4456: Часть 1. Обеспечение кибербезопасности при использовании облачных интернет-сервисов; Часть 2. Требования по обеспечению кибербезопасности в автоматизированных системах; Часть 3. Стандарт моделирования угроз кибербезопасности; Часть 4. Обеспечение кибербезопасности при осуществлении доступа к ИР и сервисам сети Интернет с использованием ИК; Часть 5. Стандарт безопасности автоматизированных систем на базе ПО Apache Hadoop; Часть 6. Стандарт обеспечения защиты от вредоносного кода; Часть 7. Стандарт размещения интернет-ресурсов ПАО Сбербанк на внешних площадках и организации массовых внутренних e-mail рассылок. Часть 8. Стандарт обезличивания данных. • Сборник стандартов по обеспечению кибербезопасности в отдельных платформах и автоматизированных системах от 27.04.2017 № 4526. • Регламент процесса обработки персональных данных розничных клиентов ПАО Сбербанк от 17.12.2015 № 4065 (с учетом изменений от 20.04.2017 № 2). • Регламент организации работы по предоставлению услуг с использованием системы «Клиент-Сбербанк» от 15.12.2011 № 1331-4-р (с учетом изменений от 26.05.2016 №4); • Порядок предоставления услуг физическим лицам в рамках универсального договора банковского обслуживания от 25.06.2009 № 1718-р (с изменениями № 1-18); • Порядок обеспечения безопасности информационных технологий в Сбербанке России от 28.12.2001 № 875-р; • Порядок управления процессами обеспечения безопасности в ИТ инфраструктуре Сбербанка России от 12.01.2006 № 1410-р (с учетом изменений от 24.07.2009 № 2); • Регламент ведения архивного дела в ПАО Сбербанк от 06.12.2016 № 3261-2 и Перечень документов со сроками хранения, образующихся в деятельности ПАО Сбербанк и его филиалов от 11.02.2015 № 1350-3-р; • Порядок перевода информационных ресурсов в архивное состояние и разгрузки баз данных автоматизированных систем от 29.10.2002 № 1008-р. 3. Правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона «О персональных данных» реализованы в рамках единой комплексной системы организационно-технических и правовых мероприятий по защите информации, содержащей коммерческую, банковскую тайну и персональные данные. В частности Банком реализованы следующие меры: 1) проведена работа по определению и оценке актуальности угроз безопасности персональных данных, обрабатываемых в информационных системах Банка. Разработана Модель угроз безопасности персональных данных. С учетом установленной категории, принадлежностью обрабатываемых персональных данных и их количеством, а также типом актуальных угроз безопасности информации, определены уровни защищенности персональных данных установленные Правительством Российской Федерации. Определены классы защиты сертифицированных средств защиты информации, соответствующие установленным уровням защищенности персональных данных. 2) сформирован базовый набор мер, включающий в себя организационные и технические меры по обеспечению безопасности персональных данных в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных; 3) в целях нейтрализации актуальных угроз безопасности персональных данных обеспечено применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации. Техническая защита персональных данных и другой защищаемой информации осуществляется в соответствии с требованиями Приказа ФСТЭК России от 18 февраля 2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Приказа ФСБ России от 10 июля 2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», Положения Центрального Банка России от 9 июня 2012 г. № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»: а) Система защиты от несанкционированного доступа реализована с использованием: • механизмов доменной авторизации пользователей и доменных политик безопасности на базе Active Directory; • функций служебной (инфраструктурной) системы управления доступом к информационным ресурсам (далее - СУД-ИР); • функций разграничения доступа автоматизированной системы. Централизованное управление доступом к информационным ресурсам информационных систем персональных данных осуществляется служебной (инфраструктурной) СУД-ИР, реализующей следующие функции: • хранение информации о работниках и подразделениях Банка и их атрибутах в LDAP (уЗ)-каталоге и предоставление данной информации в автоматизированной системе, как в режиме запросов по протоколу LDAP, так и непосредственного экспорта данной информации в автоматизированной системе с использованием программ-адаптеров, разработанных посредством ПО ШМ Tivoli Directory Integrator, входящего в состав СУД-ИР; • предоставление централизованного web-интерфейса по управлению учетными записями для АС, интегрированных с СУД-ИР, с возможностью иерархического (делегированного) администрирования, включая интерфейс самообслуживания для пользователей; реализация управления жизненным циклом учетных записей; • обеспечение единой процедуры регистрации пользователей (Single Sign-On) в информационной системе, реализованных на основе web-технологий, посредством входящего в состав СУД-ИР реверсивного рюху-сервера WebSEAL; • предоставление централизованного сервиса аутентификации и авторизации в информационной системе, балансировка нагрузки на web-серверы и серверы приложений, реализация единого web-пространства посредством механизма ответвлений в WebSEAL; • сбор информации аудита, как о доступе пользователей к информационной системе, так и об операциях по управлению доступом. б) блокирование внешних носителей информации на АРМ, включая носители с USB-интерфейсом, при помощи средств антивирусной защиты с целью предотвращения персональных данных и другой защищаемой информации от утечек. в) обеспечение антивирусной защиты на АРМ и серверах информационных систем реализовано с помощью средств антивирусной защиты разных производителей с целью повышения эффективности защиты и снижения рисков, связанных с запаздыванием в публикации актуальных антивирусных баз различными производителями антивирусного программного обеспечения относительно друг друга. Блокирование внешних носителей информации на АРМ и антивирусная защита в информационных системах реализована с использованием следующих средств антивирусной защиты: • ПО «Kaspersky Endpoint Security». Разработчик - ЗАО «Лаборатория Касперского». С Kaspersky Стандартный Certified Media Pack (Сертификаты соответствия ФСТЭК России № 3025, действует до 25.11.2019, № 2534 ФСТЭК России, действует до 27.12.2017, сертификат соответствия ФСБ России № СФ/СЗИ-0100 действует до 31.08.2019); • ПО «Symantec Endpoint Protection». Разработчик - АО «Симантек»/Symantec Russia (Сертификат соответствия ФСТЭК России № 2586, действует до 13.03.2018). Порядок и процедуры обеспечения антивирусной защиты осуществляются в соответствии со следующими внутренними нормативными документами: Сборником стандартов по обеспечению кибербезопасности от 24.01.2017 № 4456 Часть 6. Стандарт обеспечения защиты от вредоносного кода; Процедуры обновления антивирусных средств определены Порядком обновления антивирусного программного обеспечения в Центральном аппарате и Московском Банке Сбербанка России от 23.12.2009 № 1459-2-р (редакция 2); г) реализованы ограничения программной среды, осуществляемые в соответствии с требованиями следующих внутренних нормативных документов: Сборником стандартов по обеспечению кибербезопасности от 28.10.2016 № 4386 (с изменениями № 1-5): Часть 1. Конфигурирование настроек безопасности СУБД; Часть 2. Управление ключами шифрования при использовании ORACLE TDE; Часть 3. Конфигурирование АРМ КБР; Часть 4. Конфигурирование механизмов безопасности гипервизоров в зоне PCI DSS; Часть 5. Конфигурирование механизмов безопасности Data ОпТар; Часть 6. Конфигурирование механизмов безопасности системы хранения данных ЕМС; Часть 9. Конфигурирование механизмов безопасности операционных систем; Часть 10. Конфигурирование механизмов безопасности ПО ПС. Технологической схемой по конфигурированию ПО SETUP компьютеров в ОАО «Сбербанк России» от 05.08.2013 № 259-5-р. В информационных системах осуществляется установка (инсталляция) только разрешенного к использованию программного обеспечения и (или) его компонентов. Настроено управление установкой (инсталляцией) компонентов программного обеспечения, в том числе определение компонентов, подлежащих установке, настройка параметров установки компонентов, а также осуществляется контроль за установкой программного обеспечения; д) в целях защиты информационных систем и оборудования от внешних воздействий, а также разграничения автоматизированных систем с различными категориями обрабатываемых персональных данных реализована подсистема межсетевого экранирования с использованием следующих программно-аппаратных средств: • ПАК СЗИ НСД «ФПСУ-IP». Разработчик - ООО «АМИКОН». (Сертификаты соответствия ФСБ России от 06.11.2017 №СФ/124-3217, действует до 06.11.2020, от 06.11.2017 №СФ/124-3218, действует до 06.11.2020). Предназначен для организации управления доступом к информационным ресурсам сетей передачи данных и обеспечения целостности, достоверности и конфиденциальности сетевых соединений, а также построения защищённых каналов связи между межсетевыми экранами «ФПСУ-IP» и рабочими станциями, на которых функционирует ПАК «ФПСУ-ПТКлиент»; • межсетевые экраны Cisco ASA. Порядок применения средств межсетевого экранирования, требования к механизмам аутентификации, аудита событий, установки программных обновлений безопасности установлен следующими внутренними нормативными документами: Сборником стандартов по безопасному конфигурированию программного обеспечения от 28.10.2016 № 4386 (с изменениями № 1-5): Часть 7. Конфигурирование настроек безопасности маршрутизаторов; Часть 8. Конфигурирование настроек безопасности межсетевых экранов; Технологической схемой взаимодействия подразделений банка в процессе эксплуатации средств обеспечения безопасности сети от 14.08.2012 № 2605; Технологической схемой применения средств межсетевого экранирования от 27.02.2014 № 3228; Технологической схемой анализа несанкционированно функционирующих беспроводных сетей от 14.02.2014 № 3222. После выполнения всех настроек межсетевого экранирования проводится тестирование сконфигурированных механизмов безопасности на предмет корректности функционирования. Результаты тестирования, а также настройки безопасности, устанавливаемого межсетевого экрана, отражаются в соответствующем Акте ввода в эксплуатацию; Порядок обеспечения безопасности информации при осуществлении доступа к информационным ресурсам и сервисам сети Интернет осуществляется в соответствии со Сборником стандартов по обеспечению кибербезопасности от 24 января 2017 № 4456. Часть 4. Обеспечение кибербезопасности при осуществлении доступа к информационным ресурсами и сервисам сети Интернет с использованием Интернет-киосков. е) защита персональных данных в информационных системах, взаимодействие с клиентами Банка с использованием систем электронного документооборота, а также обеспечение передачи (обмена) персональных данных филиалам Банка и внешним контрагентам, осуществляется с применением СКЗИ: • СКЗИ «Бикрипт-4.0». Разработчик - ООО Фирма «ИнфоКрипт» (сертификаты соответствия ФСБ России № СФ/114-2775, № СФ/114-2776, № СФ/124-2780, № СФ/124-2781 от 30.11.2012). Обеспечивает зашифрование/расшифрование информации, расчет значений хэш-функции, формирование/проверку ЭП и генерацию ключевой информации. Используется во внутреннем офисном электронном документообороте Банка и в системе электронного документооборота с юридическими лицами; • СКЗИ «Бикрипт-5.0». Разработчик - ООО Фирма «ИнфоКрипт» (сертификаты соответствия ФСБ России № СФ/114-3021, № СФ/114-3022, № СФ/114-3023, № СФ/114-3024, № СФ/114-3025, № СФ/124-3026, № СФ/124-3027, № СФ/124-3028 от 30.12.2016). Обеспечивает зашифрование/расшифрование информации, расчет значений хэш-функции, формирование/проверку ЭП и генерацию ключевой информации. Используется во внутреннем офисном электронном документообороте Банка и в системе электронного документооборота с юридическими лицами; • СКЗИ «Туннель 2.0». Разработчик - ООО Фирма «ИнфоКрипт» совместно с ООО «АМИКОН» (сертификаты соответствия ФСБ России № СФ/124-2686, № СФ/124-2687, № СФ/124-2688 от 10.08.2015, № СФ/124-2900, № СФ/124-2901 от 05.06.2017, СФ/123-3163, СФ/123-3164 от 15.07.2017, № СФ/124-3165, № СФ/124-3166, № СФ/124-3167 от 14.07.2017). Обеспечивает шифрование IP-пакетов, передаваемых через общедоступные сети передачи данных, генерацию ключевой информации, шифрование блоков данных и имитозащиту данных. Функционирует в составе ПАК СЗИ НСД «ФПСУ-IP». Используется в системе электронного документооборота Банка и юридическими лицами для передачи информации по зашифрованному каналу; • СКЗИ «Туннель-TLS». Разработчик - ООО Фирма «ИнфоКрипт» совместно с ООО «АМИКОН» (сертификаты соответствия ФСБ России № СФ/124-2582, № СФ/124-2583, № СФ/123-2584 от 02.04.2015, № СФ/124-2872, № СФ/124-2873, № СФ/124-2874, №СФ/124-2875 от 15.02.2016). Обеспечивает зашифрование/расшифрование информации, вычисление имитовставки и генерацию ключевой информации. Функционирует в составе ПАК СЗИ НСД «ФПСУ-1Р/Клиент». Используется в системе электронного документооборота Банка и юридическими лицами для передачи информации по зашифрованному каналу в рамках услуг расчетно-кассового обслуживания; • СКЗИ «VPN-Key-TLS Int». Разработчик - ООО Фирма «ИнфоКрипт» совместно с ООО «АМИКОН» (сертификаты соответствия ФСБ России № СФ/124-2999, № СФ/124-3000, от 05.12.2016). Обеспечивает зашифрование/расшифрование информации, вычисление имитовставки и генерацию ключевой информации. Функционирует в составе ПАК СЗИ НСД «ФПСУ-ПТКлиент». Используется в системе электронного документооборота Банка и юридическими лицами для передачи информации по зашифрованному каналу в рамках услуг расчетно-кассового обслуживания; • СКЗИ «ANET 5». Разработчик - ООО Фирма «ИнфоКрипт» совместно с ООО «АМИКОН» (сертификат соответствия ФСБ России № СФ/124-3168 от 14.07.2017). Обеспечивает шифрование файлов и областей памяти, передаваемых через общедоступные сети передачи данных, генерацию ключевой информации. Функционирует в составе ПК «ANET». Используется в системе электронного документооборота Банка с третьими лицами, включая финансовые институты для передачи информации по зашифрованному каналу; • СКЗИ «ANET 5 Int». Разработчик - ООО Фирма «ИнфоКрипт» совместно с ООО «АМИКОН» (сертификат соответствия ФСБ России № СФ/124-3001 от 05.12.2016). Обеспечивает шифрование файлов и областей памяти, передаваемых через общедоступные сети передачи данных, генерацию ключевой информации. Функционирует в составе ПК «ANET». Используется в системе электронного документооборота Банка с третьими лицами, включая финансовые институты для передачи информации по зашифрованному каналу; • СКЗИ «Сигнатура-клиент». Разработчик - ООО «ВАЛИДАТА» (сертификат соответствия ФСБ России № СФ/124-2680, № СФ/124-2681 от 30.06.2015). Обеспечивает криптографическую защиту (создание и управление ключевой информацией, шифрование файлов и данных, содержащихся в областях оперативной памяти, вычисление значения хэш-функции для файлов и данных, содержащихся в областях оперативной памяти, создание и проверка электронной подписи для файлов и данных, содержащихся в областях оперативной памяти) информации. Используется в системе электронного документооборота Банка с территориальными подразделениями Банка для передачи информации по зашифрованному каналу; • СКЗИ «Верба-OW». Разработчик - ЗАО «МО ПНИЭИ» (Сертификаты' соответствия ФСБ России № СФ/114-2941, СФ/114-2942 от 08.08.2016. Заключение экспертизы МО ПНИЭИ № 149/3/2/2-965 от 10.06.2016). Обеспечивает создания и управления ключевой информацией, шифрования, вычисления имитовставки, хеширования, создания/проверки электронной подписи файлов и данных в областях памяти. Используется в системе электронного документооборота Банка с территориальными подразделениями Банка для передачи информации по зашифрованному каналу; • СКЗИ «КриптоПро CSP». Разработчик - ООО «Крипто-ПРО» (сертификаты соответствия ФСБ России № СФ/114-2913, № СФ/114-2914, № СФ/114-2915, № СФ/114-2916, от 27.06.2016, № СФ/114-2538, № СФ/114-2539, № СФ/114-2540 от 15.01.2015, № СФ/124-3010, № СФ/124-3011 от 30.12.2016, № СФ/114-2863, № СФ/114-2864 от 20.03.2016). Обеспечивает криптографическую защиту (создание и управление ключевой информацией, шифрование (данных, содержащихся в областях оперативной памяти; файлов и данных с использованием протокола EFS), вычисление имитовставки для данных, содержащихся в областях оперативной памяти, вычисление значения хэш-функции для данных, содержащихся в областях оперативной памяти, защиту TLS-соединений, реализацию функций электронной подписи. Используется в электронном документообороте Банка с госорганами и с юридическими лицами; • СКЗИ «ViPNet Coordinator HW/Client». Разработчик - ОАО «ИнфоТеКС» (сертификаты соответствия ФСБ России № СФ/525-2952 от 09.09.2016, № СФ/121-2797 от 11.02.2016, № СФ/124-2876 от 30.03.2016, № СФ/515-2907 от 17.06.2016, № СФ/124-2911 от 17.07.2016, № СФ/525-2952от 09.09.2016). Выполняет на рабочем месте пользователя или сервере функции VPN-клиента, персонального экрана, клиента защищенной почтовой системы, а также криптопровайдера для прикладных программ, использующих функции подписи и шифрования. Используется в электронном документообороте Банка с госорганами и с юридическими лицами; • модули безопасности международных платежных систем HSM Racal и HSM Thales моделей 8000 и 9000. Обеспечивают защиту финансовых транзакций при взаимодействии Банка с международными платежными системами Mastercard и Visa; • канальные шифраторы и модули безопасности VpnBox SSG5 (Juniper Networks, США), HSMBox (Safe Net, США). Обеспечивают взаимодействие Банка с системой международного электронного финансового документооборота SWIFT. Работы, связанные с обеспечением функционирования СКЗИ, осуществляются Банком на основании лицензии Федеральной службы безопасности России (Регистрационный № 13259Н от 14.11.2013). Порядок обеспечения защищенного доступа в информационных системах осуществляется в соответствии со следующими внутренними нормативными документами: Внутренним стандартом ОАО «Сбербанк России». Требования к организации защиты клиентских автоматизированных рабочих мест систем дистанционного банковского обслуживания дочерних обществ ОАО «Сбербанк России» от 09.01.2014 № ВСБ 3.5.6-14; Технологической схемой предоставления защищенного удаленного доступа через сеть Интернет к информационным ресурсам в корпоративной сети Банка от 27.07.2010 № 1923 (с изменениями от 23.09.2011 № 1). Эксплуатация СКЗИ осуществляется во всех филиалах и внутренних структурных подразделениях Банка. Генерация ключей ЭП в Банке осуществляется работниками Банка самостоятельно с использованием АС «МегаЦУКС». Выпуск квалифицированных сертификатов ключей проверки ЭП осуществляется на программно-аппаратном комплексе (далее - ПАК) удостоверяющего центра «Бикрипт- УЦ» (сертификаты соответствия ФСБ России № СФ/128-2888 от 22.05.2016) в соответствии с эксплуатационной документацией. Порядок сопровождения и эксплуатации автоматизированной системы генерации, сертификации и администрирования ключей ЭП центров управления ключевыми системами, размещения оборудования, модернизации, проведения регламентных работ, ведения документации, действий в аварийных ситуациях определен Технологическим регламентом эксплуатации автоматизированной системы генерации, сертификации и администрирования ключей электронной цифровой подписи от 15.07.2008 № 1580-т. АРМы Администраторов информационной безопасности криптографических ключей размещены в зонах с контролируемым доступом. Носители ключевой информации хранятся в индивидуальных сейфовых ячейках или в сейфах руководителей подразделений и выдаются работникам на время осуществления работ со средствами СКЗИ. Контроль за порядком хранения ключевой информации осуществляется администратором безопасности АС. В целях обеспечения контроля вскрытия корпусов СВТ, оборудованных СКЗИ, в Банке применяются защитные голографические наклейки. Обеспечение безопасности функционирования СКЗИ возлагается на персонал эксплуатирующих и структурных подразделений, участвующих в электронном документообороте. Непосредственный контроль за выполнением мер информационной безопасности осуществляется администраторами информационной безопасности подразделений, эксплуатирующих СКЗИ. Организация работ по защите информации и проверке выполнения мер безопасности в подразделениях ТБ, эксплуатирующих СКЗИ, осуществляется отделами по защите информационных технологий, входящими в состав Управлений безопасности филиалов ПАО Сбербанк. Головным подразделением Банка по вопросам использования СКЗИ является Управление экспертизы кибербезопасности и Отдел криптозащиты Департамента безопасности. Меры и формы ответственности персонала за нарушения правил пользования и требований по обеспечению безопасности функционирования СКЗИ определены Внутренним стандартом по обеспечению безопасности ключей электронной подписи в ПАО Сбербанк от 18.11.2015 № 553-5-р. СКЗИ в составе систем дистанционного обслуживания передаются клиенту Банка только после подписания с ним Договора. Средства систем дистанционного обслуживания обеспечивают возможность использования СКЗИ только при взаимодействии с Банком. Ответственность за обеспечение безопасности СКЗИ, криптографических ключей и их сохранность возлагается на клиента по условиям Договора. При этом предоставляются рекомендации по использованию средств СКЗИ и мерам по обеспечению безопасности в процессе эксплуатации средств системы. Ключи электронной подписи для использования в системах дистанционного банковского обслуживания изготавливаются клиентом самостоятельно средствами электронной подписи, предоставленными Банком. Ключи проверки электронной подписи предоставляются в Банк для регистрации в электронном виде и на бумажных носителях. Удостоверяющий центр Банка аккредитован Министерством связи и массовых коммуникаций на осуществление деятельности по созданию и выдаче сертификатов ключей проверки электронной подписи и использование средств электронной подписи (Свидетельство от 05.09.2016 № 304); 4) оценка достаточности и эффективности принимаемых мер по обеспечению безопасности персональных данных осуществляется при проведении приемо-сдаточных испытаний автоматизированных систем в соответствии с «Порядком проведения приемо-сдаточных испытаний автоматизированных систем» от 17.09.2002 № 845-2-р, до ввода их в промышленную эксплуатацию, а также после проведения доработок автоматизированных систем. Результаты приемо-сдаточных испытаний оформляются протоколами ПСИ; 5) учет машинных носителей информации организован в конфиденциальном делопроизводстве Банка в соответствии с «Порядком работы в ОАО «Сбербанк России» с документами, содержащими конфиденциальную информацию» от 18.11.2014 № 1091-2-р. При осуществлении учета машинные носители информации маркируются необходимыми реквизитами; 6) Обнаружение фактов несанкционированного доступа к персональным данным реализовано с помощью следующих мер: а) выявление и анализ уязвимостей реализовано с использованием средства контроля защищенности информации MaxPatrol. Разработчик - ЗАО «Позитив Технолоджиз» (Сертификат соответствия ФСТЭК России № 2922, действует до 08.07.2019). Организация регулярного контроля защищенности информационной инфраструктуры Банка является обязательной составной частью процесса обеспечения защиты информационных ресурсов и АС от несанкционированного доступа. Порядок обеспечения контроля защищенности установлен Технологической схемой контроля защищенности информационной инфраструктуры ОАО «Сбербанк России» от 15.08.2013 № 1488-3. В Банке обеспечиваются следующие способы контроля защищенности информационной инфраструктуры Банка: • инструментальный контроль защищенности; • тестирование на проникновение. Внешний и внутренний инструментальный контроль защищенности на наличие уязвимостей проводится для всех системных компонентов информационной инфраструктуры не реже одного раза в квартал, а также после внесения значимых изменений (например, установки новых системных компонентов, изменения топологии сети, изменения правил межсетевых экранов, обновления системных компонентов). Внутренний контроль защищенности информационной инфраструктуры Банка выполняется только работниками подразделения информационной безопасности с технологических рабочих мест, оборудованных сканером безопасности. Инструментальный контроль защищенности выполняется: • для серверов и СУБД; • для всех новых версий и обновлений серверной части прикладного банковского ПО, на этапе приемо-сдаточных испытаний при вводе в эксплуатацию новой АС, изменении состава комплекса технических средств, или при изменении состава используемых АС системных сервисов и сетевых протоколов; • для АРМ работников; • для сетевых компонентов и средств защиты информационной инфраструктуры. Для проведения внешнего инструментального контроля защищенности сетевых узлов Банка, доступных из сети Интернет и осуществляющих обработку, хранение или передачу данных платежных карт, привлекается внешняя Компания, имеющая статус Approved Scanning Vendor (ASV). Ежеквартальный внешний контроль защищенности для системных компонентов, на которые распространяются требования стандарта PCI DSS, выполняется сторонней компанией (ASV), сертифицированной Советом PCI SSC. Проведение работ по тестированию на несанкционированное проникновение в информационную инфраструктуру Банка осуществляется в соответствии с требованиями PCI DSS. Тестирование на проникновение осуществляется на сетевом уровне и на уровне приложений. Выполняется для: • всех системных компонентов обрабатывающих, хранящих или передающих данные платежных карт; • всех системных компонентов, имеющих прямое подключение к вышеуказанным системным компонентам; • всех средств защиты, обеспечивающих информационную безопасность вышеуказанных системных компонентов. б) обеспечение контроля целостности в информационных системах осуществляется в соответствии с Технологической схемой контроля целостности критичных файлов от 09.08.2013 № 2969 (с учетом изменений от 03.04.2017 № 1). В целях обеспечения контроля целостности программного обеспечения в информационных системах приняты следующие меры: • контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации; • контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации; • контроль состава технических средств, ПО и средств защиты информации; • контроль правил генерации и смены паролей пользователей, заведения и удаления учетных записей пользователей, реализации правил разграничения доступа, полномочий пользователей в информационных системах. в) обнаружение и предотвращение вторжений реализовано с использованием ПО «StoneGate IPS (Intrusion Prevention System)». Разработчик - ООО «Новые технологии безопасности» (Сертификат соответствия ФСТЭК России № 2163, действует до 31.08.2019). ПО «StoneGate IPS обеспечивает полный контроль каналов связи, проактивное предотвращение атак на критичные серверы и рабочие станции сети, а также возможность инспекции зашифрованного веб-трафика. Система обнаружения и предотвращения вторжений обеспечивает: • сбор информации о сетевом трафике, проходящем через контролируемые узлы АС, о событиях, регистрируемых в журналах аудита операционной системы, прикладного ПО, о вызове функций, об обращении к ресурсам; • анализ собранных данных и оценку уязвимостей; • предотвращение преднамеренного несанкционированного доступа или специальных воздействий на информацию (носители информации) со стороны внешних нарушителей, действующих из информационно-телекоммуникационных сетей, в том числе сетей международного информационного обмена; • предотвращение преднамеренного несанкционированного доступа или специальных воздействий на информацию (носители информации) со стороны внутренних нарушителей, обладающих правами и полномочиями на доступ к информации в информационной системе. • условия безопасного функционирования, управление атрибутами безопасности. г) порядок реагирования и принятия мер по фактам несанкционированного доступа к персональным данным осуществляется в соответствии с «Порядком обеспечения безопасности информационных технологий в Сбербанке России» от 28.12.2001 № 875-р; 7) контроль за утечками персональных данных и другой защищаемой информацией за периметр информационного обмена реализовано с использованием DLP-системы (Data Leak Prevention) «InfoWatch Traffic Monitor Enterprise». Разработчик - АО «ИнфоВотч» (Сертификат соответствия ФСТЭК России № 3205 от 21.07.2014). Обеспечение контроля за утечками персональных данных и другой защищаемой информацией за периметр информационного обмена осуществляется в соответствии со следующими нормативными и распорядительными документами: Сборник стандартов контроля защищенности инфраструктуры банка от 16.11.2016 № 4395 Часть 1. Стандарт Управления событиями, связанными с нарушениями политик безопасности DLP систем (с учетом изменений от 11.05.2017 № 2); Приказ «О дополнительных мерах по обеспечению конфиденциальности электронного документооборота ОАО «Сбербанк России» от 13.11.2013 № 243-0. 8) в целях обеспечения доступности, восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, а также обеспечения (восстановления) работоспособности автоматизированных систем при выходе из строя оборудования, чрезвычайных ситуациях, стихийных бедствиях и т.п., в информационных системах персональных данных установлены процедуры резервного копирования и восстановления баз данных, системного и прикладного программ
ФИО физического лица или наименование юридического лица, ответственных за обработку персональных данных Лебедь Сергей Васильевич
номера их контактных телефонов, почтовые адреса и адреса электронной почты тел. +7 (495) 967-39-80 (доб. 48-133)
117997, г. Москва, ул. Вавилова, д. 19
pdn-org@sberbank.ru
Дата начала обработки персональных данных 26.07.1991
Срок или условие прекращения обработки персональных данных Обработка персональных данных прекращается: • по истечении срока, предусмотренного законом, договором, или согласием Субъекта персональных данных на обработку его персональных данных; • при достижении целей обработки персональных данных, а также отзыве Субъектом персональных данных согласия на обработку его персональных данных и отсутствии правовых оснований на обработку, предусмотренных законом.
Дата и основание внесения записи в реестр Приказ № 174 от 16.07.2018

Список информационных систем и их параметры

№1
категории персональных данных фамилия, имя, отчество,год рождения,месяц рождения,дата рождения,место рождения,адрес,семейное положение,социальное положение,имущественное положение,образование,профессия,доходы; • сведения о смене фамилии, имени или отчества; • пол; • гражданство; • данные паспорта гражданина Российской Федерации или при его отсутствии иного документа, удостоверяющего личность в соответствии с законодательством Российской Федерации (серия, номер, дата и место выдачи, наименование и код органа, выдавшего паспорт или иной документ, удостоверяющий личность); • данные заграничного паспорта (серия, номер, дата и место выдачи, наименование органа, выдавшего паспорт); • данные, включенные в документы воинского учета; • данные водительского удостоверения (серия, номер, дата выдачи, наименование органа, выдавшего удостоверение, категория); • данные, включенные в свидетельство о браке; • идентификационный номер налогоплательщика (ИНН); • страховой номер индивидуального лицевого счета, указанный в страховом свидетельстве обязательного пенсионного страхования (СНИЛС); • сведения об обязательствах заемщика; • сведения о близких родственниках; • сведения о трудовом стаже и трудовой деятельности; • номера городских и мобильных телефонов, номера факсов; • адреса электронной почты; • информация о транспортном средстве; • номер банковской карты; • номер банковского счета; • номер ДЕПО счета; • идентификатор клиента; • IP-адрес пользователя сервиса; • Ш-адрес пользователя сервиса; • логин пользователя сервиса • файлы cookies; • дата/время использования сервиса; • номер участника программы лояльности «Аэрофлот Бонус». б)персональные данные, относящиеся к специальной категории персональных данных: • сведения о состоянии здоровья субъектов персональных данных (застрахованных лиц); в) персональные данные, относящиеся к биометрическим персональным данным: • цифровое фотографическое изображение лица, использующееся Банком для установления личности субъекта персональных данных; • слепок голоса; • оцифрованное изображение рисунка вен ладони.
категории субъектов, персональные данные которых обрабатываются принадлежащих: • физическим лицам, являющимся кандидатами на должность в Банке; • физическим лицам, являющимся работниками Банка и их близких родственников; • физическим лицам, осуществляющим выполнение работ по оказанию услуг и заключивших с Банком договор гражданско-правового характера; • физическим лицам, входящим в органы управления Банка; • физическим лицам, представляющим интересы Корпоративного клиента Банка (Представители Корпоративного клиента); • физическим лицам, являющимися Розничными клиентами Банка; • физическим лицам, приобретающим или намеревающиеся приобрести услуги Банка, услуги третьих лиц при посредничестве Банка или не имеющим с Банком договорных отношений при условии, что их персональные данные включены в автоматизированные системы Банка и обрабатываются в соответствии с Законодательством «О персональных данных»; • физическим лицам, не относящимся к клиентам Банка, заключившим или намеревающимся заключить с Банком договорные отношения в связи с осуществлением Банком Административно-хозяйственной деятельности при условии, что их персональные данные включены в автоматизированные системы Банка и обрабатываются в соответствии с Законодательством «О персональных данных»; • физическим лицам, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным Законодательством о персональных данных; • иным физическим лицам, выразившие согласие на обработку Банком их персональных данных, или физическим лицам, обработка персональных данных которых необходима Банку для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей.
перечень действий с персональными данными Банком осуществляется автоматизированная и неавтоматизированная обработка персональных данных. Передача персональных данных осуществляется по телекоммуникационным каналам связи международного информационного обмена «Интернет», корпоративной сети Банка и на материальных носителях персональных данных. Обработка персональных данных в информационных системах осуществляется в многопользовательском режиме с разграничением прав доступа. Перечень действий, осуществляемых с персональными данными клиентов и работников Банка: • сбор персональных данных; • запись персональных данных; • систематизация персональных данных; • накопление персональных данных; • хранение персональных данных; • уточнение (обновление, изменение) персональных данных; • извлечение персональных данных; • использование персональных данных; • передача (предоставление, доступ) персональных данных; • блокирование персональных данных; • обезличивание персональных данных; • уничтожение персональных данных.
обработка персональных данных смешанная,с передачей по внутренней сети юридического лица,с передачей по сети Интернет
трансграничная передача да
сведения о местонахождении баз данных Россия

Портал персональныеданные.дети