Фрагмент документа "РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ РС БР ИББС-2.3-2010. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ П".
5. Общий подход к определению требований
по обеспечению безопасности персональных данных
в информационных системах персональных данных
5.1. Выбор требований по обеспечению безопасности персональных
данных в информационных системах персональных данных (ИСПДн)
осуществляется в зависимости от результатов классификации ИСПДн.
5.2. В соответствии с действующим стандартом СТО БР ИББС-1.0 все
ИСПДн организаций БС РФ относятся к специальным. ИСПДн организации БС
РФ классифицируются на основе категорий обрабатываемых в ИСПДн
персональных данных. Выделяются следующие основные классы ИСПДн:
ИСПДн обработки специальных категорий персональных данных (далее
- ИСПДн-С);
Примечание.
В соответствии с Федеральным законом от 27 июля 2006 года "О
персональных данных" [1] к специальным категориям персональных данных
относятся персональные данные, касающиеся расовой, национальной
принадлежности, политических взглядов, религиозных или философских
убеждений, состояния здоровья, интимной жизни.
ИСПДн обработки биометрических персональных данных (далее -
ИСПДн-Б);
Примечание.
В соответствии с Федеральным законом от 27 июля 2006 года "О
персональных данных" [1] к биометрическим персональным данным
относятся сведения, которые характеризуют физиологические особенности
человека и на основе которых можно установить его личность.
ИСПДн обработки персональных данных, которые не могут быть
отнесены к специальным категориям персональных данных, к
биометрическим персональным данным, к общедоступным или обезличенным
(далее - ИСПДн-И);
ИСПДн обработки общедоступных и (или) обезличенных персональных
данных (далее - ИСПДн-Д).
Примечание.
В соответствии с Федеральным законом от 27 июля 2006 года "О
персональных данных" [1] к общедоступным персональным данным относятся
персональные данные, доступ неограниченного круга лиц к которым
предоставлен с согласия субъекта персональных данных или на которые в
соответствии с федеральными законами не распространяется требование
соблюдения конфиденциальности.
В соответствии с Федеральным законом от 27 июля 2006 года "О
персональных данных" [1] обезличивание персональных данных - действия,
в результате которых невозможно определить принадлежность персональных
данных конкретному субъекту персональных данных.
5.3. Для обеспечения выполнения требований СТО БР ИББС-1.0 в
ИСПДн организации БС РФ для каждой ИСПДн должны быть реализованы:
- общие требования по обеспечению безопасности персональных
данных, обрабатываемых в ИСПДн любого класса (раздел 6.1 настоящих
рекомендаций);
- требования по обеспечению безопасности персональных данных,
обрабатываемых в ИСПДн соответствующего класса (разделы 6.2 - 6.5
настоящих рекомендаций).
5.4. Связь положений СТО БР ИББС-1.0 и требований настоящего
документа, необходимых для реализации этих положений, приведена в
Приложении.
5.5. При проведении оценок соответствия ИБ организации БС РФ
требованиям СТО БР ИББС-1.0 (самооценок и внешних оценок соответствия)
вопросы частных показателей СТО БР ИББС-1.2 в части банковских
технологических процессов, в рамках которых обрабатываются
персональные данные, детализируются и конкретизируются вопросами,
составленными на основе требований настоящего документа. Перечень
указанных детализирующих и конкретизирующих вопросов, а также подход к
проведению оценок соответствия ИБ содержатся в СТО БР ИББС-1.2.
|
Фрагмент документа "РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ РС БР ИББС-2.3-2010. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ П".