ПИСЬМО
ЦЕНТРАЛЬНЫЙ БАНК РФ
28 июня 2010 г.
N 01-23/3148
АССОЦИАЦИЯ РОССИЙСКИХ БАНКОВ
28 июня 2010 г.
N 01-23/3148
АССОЦИАЦИЯ РЕГИОНАЛЬНЫХ БАНКОВ РОССИИ
28 июня 2010 г.
N 01-23/3148
(Д)
С целью выполнения в организациях банковской системы Российской
Федерации (далее - БС РФ) требований Федерального закона от 27 июля
2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон
"О персональных данных") Центральный банк Российской Федерации при
участии Ассоциации российских банков (далее - АРБ) и Ассоциации
региональных банков России (Ассоциации "Россия") разработал отраслевые
документы по приведению деятельности организаций БС РФ в соответствие
с требованиями законодательства в области персональных данных. Эти
документы включают:
1. Четыре документа, входящие в комплекс документов в области
стандартизации Банка России "Обеспечение информационной безопасности
организаций банковской системы Российской Федерации" (далее - Комплекс
БР ИББС):
1.1. Четвертая редакция стандарта Банка России отраслевого
применения СТО БР ИББС-1.0-2010 "Обеспечение информационной
безопасности организаций банковской системы Российской Федерации.
Общие положения" (далее - стандарт Банка России СТО БР ИББС-1.0),
доработанная в части требований по обработке и обеспечению
безопасности персональных данных в соответствии с Отраслевой моделью
угроз;
1.2. Третья редакция стандарта Банка России отраслевого
применения СТО БР ИББС-1.2-2010 "Обеспечение информационной
безопасности организаций банковской системы Российской Федерации.
Методика оценки соответствия информационной безопасности организаций
банковской системы Российской Федерации требованиям СТО БР ИББС-1.0",
доработанная в части требований по обработке и обеспечению
безопасности персональных данных в соответствии с Отраслевой моделью
угроз;
1.3. Рекомендации в области стандартизации Банка России
"Обеспечение информационной безопасности организаций банковской
системы Российской Федерации. Отраслевая частная модель угроз
безопасности персональных данных при их обработке в информационных
системах персональных данных организаций банковской системы Российской
Федерации" (РС БР ИББС-2.4) (далее - Отраслевая модель угроз);
1.4. Рекомендации в области стандартизации Банка России
"Обеспечение информационной безопасности организаций банковской
системы Российской Федерации. Требования по обеспечению безопасности
персональных данных в информационных системах персональных данных
организаций банковской системы Российской Федерации" (далее -
рекомендации в области стандартизации Банка России РС БР ИББС-2.3).
2. Методические рекомендации по выполнению законодательных
требований при обработке персональных данных в организациях БС РФ,
разработанные совместно Банком России, АРБ и Ассоциацией региональных
банков России (Ассоциацией "Россия").
Документы Комплекса БР ИББС согласованы ФСБ России,
Роскомнадзором, ФСТЭК России. Текст документов опубликован в "Вестнике
Банка России" и размещен на Web-сайте Банка России в сети Интернет.
Федеральным законом от 27.12.2002 N 184-ФЗ "О техническом
регулировании" установлен рекомендательный статус стандартов и иных
документов по стандартизации. В соответствии с указанным Федеральным
законом стандарты и иные документы по стандартизации подлежат
обязательному исполнению в организациях, если они добровольно
принимают решение об их введении.
Центральный банк Российской Федерации, Ассоциация российских
банков и Ассоциация региональных банков России рекомендуют ввести
Комплекс БР ИББС решением организации БС РФ (приказом, распоряжением)
и руководствоваться им при проведении работ по защите информации,
отнесенной к персональным данным, к банковской тайне, к коммерческой
тайне.
В случае, если Комплекс БР ИББС вводится решением организации БС
РФ, рекомендуем следующий порядок работы.
1. Представить информацию о принятом решении в Центральный банк
Российской Федерации.
2. Провести мероприятия по приведению организации БС РФ в
соответствие с требованиями стандарта Банка России СТО БР ИББС-1.0.
3. Применять Методические рекомендации по выполнению
законодательных требований при обработке персональных данных в
организациях БС РФ.
4. Провести оценку соответствия организации БС РФ требованиям
стандарта Банка России СТО БР ИББС-1.0. Оценку соответствия
рекомендуется поручать организациям, имеющим опыт проведения аудита
информационной безопасности и оценки соответствия требованиям
стандарта Банка России СТО БР ИББС-1.0. В случае невозможности
проведения оценки соответствия организации БС РФ требованиям стандарта
Банка России СТО БР ИББС-1.0 силами сторонней организации,
организацией собственными силами проводится самооценка соответствия
требованиям стандарта Банка России СТО БР ИББС-1.0.
5. Выпустить документ о подтверждении соответствия организации БС
РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием
соответствия в целом и по направлениям Регуляторов - Роскомнадзора,
ФСБ России и ФСТЭК России (в пределах их полномочий).
6. По готовности, но не позже 31 декабря 2010 года направить этот
документ в адрес Банка России и территориальных органов Регуляторов. В
дальнейшем направлять этот документ в Банк России и Регуляторам один
раз в три года.
В случае, если Комплекс БР ИББС в кредитной организации не
вводится, она должна руководствоваться нормативно-правовыми актами ФСБ
России, Роскомнадзора и ФСТЭК России.
Председатель Центрального банка
Российской Федерации
С.М.ИГНАТЬЕВ
Президент
Ассоциации российских банков
Г.А.ТОСУНЯН
Президент
Ассоциации региональных
банков России
А.Г.АКСАКОВ
Согласовано:
Руководитель
Научно-технической
службы Федеральной
службы безопасности
Российской Федерации
Н.В.КЛИМАШИН
Заместитель руководителя
Федеральной службы
по надзору в сфере
связи, информационных
технологий и массовых
коммуникаций
Р.В.ШЕРЕДИН
Первый заместитель
директора Федеральной
службы по техническому
и экспортному контролю
В.В.СЕЛИН
28 июня 2010 г.
N 01-23/3148 |