ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
АССОЦИАЦИЯ РОССИЙСКИХ БАНКОВ
АССОЦИАЦИЯ РЕГИОНАЛЬНЫХ БАНКОВ РОССИИ (АССОЦИАЦИЯ "РОССИЯ")
ПИСЬМО
от 28 июня 2010 г. N 01-23/3148
С целью выполнения в организациях банковской системы Российской Федерации (далее - БС РФ) требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных") Центральный банк Российской Федерации при участии Ассоциации российских банков (далее - АРБ) и Ассоциации региональных банков России (Ассоциации "Россия") разработал отраслевые документы по приведению деятельности организаций БС РФ в соответствие с требованиями законодательства в области персональных данных. Эти документы включают:
1. Четыре документа, входящие в комплекс документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (далее - Комплекс БР ИББС):
1.1. Четвертая редакция стандарта Банка России отраслевого применения СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - стандарт Банка России СТО БР ИББС-1.0), доработанная в части требований по обработке и обеспечению безопасности персональных данных в соответствии с Отраслевой моделью угроз;
1.2. Третья редакция стандарта Банка России отраслевого применения СТО БР ИББС-1.2-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0", доработанная в части требований по обработке и обеспечению безопасности персональных данных в соответствии с Отраслевой моделью угроз;
1.3. Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.4) (далее - Отраслевая модель угроз);
1.4. Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации" (далее - рекомендации в области стандартизации Банка России РС БР ИББС-2.3).
2. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ, разработанные совместно Банком России, АРБ и Ассоциацией региональных банков России (Ассоциацией "Россия").
Документы Комплекса БР ИББС согласованы ФСБ России, Роскомнадзором, ФСТЭК России. Текст документов опубликован в "Вестнике Банка России" и размещен на Web-сайте Банка России в сети Интернет.
Федеральным законом от 27.12.2002 N 184-ФЗ "О техническом регулировании" установлен рекомендательный статус стандартов и иных документов по стандартизации. В соответствии с указанным Федеральным законом стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение об их введении.
Центральный банк Российской Федерации, Ассоциация российских банков и Ассоциация региональных банков России рекомендуют ввести Комплекс БР ИББС решением организации БС РФ (приказом, распоряжением) и руководствоваться им при проведении работ по защите информации, отнесенной к персональным данным, к банковской тайне, к коммерческой тайне.
В случае, если Комплекс БР ИББС вводится решением организации БС РФ, рекомендуем следующий порядок работы.
1. Представить информацию о принятом решении в Центральный банк Российской Федерации.
2. Провести мероприятия по приведению организации БС РФ в соответствие с требованиями стандарта Банка России СТО БР ИББС-1.0.
3. Применять Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ.
4. Провести оценку соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0. Оценку соответствия рекомендуется поручать организациям, имеющим опыт проведения аудита информационной безопасности и оценки соответствия требованиям стандарта Банка России СТО БР ИББС-1.0. В случае невозможности проведения оценки соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 силами сторонней организации, организацией собственными силами проводится самооценка соответствия требованиям стандарта Банка России СТО БР ИББС-1.0.
5. Выпустить документ о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям Регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий).
6. По готовности, но не позже 31 декабря 2010 года направить этот документ в адрес Банка России и территориальных органов Регуляторов. В дальнейшем направлять этот документ в Банк России и Регуляторам один раз в три года.
В случае, если Комплекс БР ИББС в кредитной организации не вводится, она должна руководствоваться нормативно-правовыми актами ФСБ России, Роскомнадзора и ФСТЭК России.
Председатель Центрального банка
Российской Федерации
С.М.ИГНАТЬЕВ
Президент
Ассоциации российских банков
Г.А.ТОСУНЯН
Президент
Ассоциации региональных
банков России
А.Г.АКСАКОВ
Согласовано:
Руководитель
Научно-технической
службы Федеральной
службы безопасности
Российской Федерации
Н.В.КЛИМАШИН
Заместитель руководителя
Федеральной службы
по надзору в сфере
связи, информационных
технологий и массовых
коммуникаций
Р.В.ШЕРЕДИН
Первый заместитель
директора Федеральной
службы по техническому
и экспортному контролю
В.В.СЕЛИН