<Письмо> Банка России, АРБ от 28.06.2010 N 01-23/3148 <О введении в действие Стандартов и Рекомендаций в области стандартизации Банка России по вопросам информационной безопасности банковской организации Российской Федерации>

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

АССОЦИАЦИЯ РОССИЙСКИХ БАНКОВ

АССОЦИАЦИЯ РЕГИОНАЛЬНЫХ БАНКОВ РОССИИ (АССОЦИАЦИЯ "РОССИЯ")

ПИСЬМО

от 28 июня 2010 г. N 01-23/3148

С целью выполнения в организациях банковской системы Российской Федерации (далее - БС РФ) требований Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных") Центральный банк Российской Федерации при участии Ассоциации российских банков (далее - АРБ) и Ассоциации региональных банков России (Ассоциации "Россия") разработал отраслевые документы по приведению деятельности организаций БС РФ в соответствие с требованиями законодательства в области персональных данных. Эти документы включают:

1. Четыре документа, входящие в комплекс документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (далее - Комплекс БР ИББС):

1.1. Четвертая редакция стандарта Банка России отраслевого применения СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - стандарт Банка России СТО БР ИББС-1.0), доработанная в части требований по обработке и обеспечению безопасности персональных данных в соответствии с Отраслевой моделью угроз;

1.2. Третья редакция стандарта Банка России отраслевого применения СТО БР ИББС-1.2-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0", доработанная в части требований по обработке и обеспечению безопасности персональных данных в соответствии с Отраслевой моделью угроз;

1.3. Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.4) (далее - Отраслевая модель угроз);

1.4. Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации" (далее - рекомендации в области стандартизации Банка России РС БР ИББС-2.3).

2. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ, разработанные совместно Банком России, АРБ и Ассоциацией региональных банков России (Ассоциацией "Россия").

Документы Комплекса БР ИББС согласованы ФСБ России, Роскомнадзором, ФСТЭК России. Текст документов опубликован в "Вестнике Банка России" и размещен на Web-сайте Банка России в сети Интернет.

Федеральным законом от 27.12.2002 N 184-ФЗ "О техническом регулировании" установлен рекомендательный статус стандартов и иных документов по стандартизации. В соответствии с указанным Федеральным законом стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение об их введении.

Центральный банк Российской Федерации, Ассоциация российских банков и Ассоциация региональных банков России рекомендуют ввести Комплекс БР ИББС решением организации БС РФ (приказом, распоряжением) и руководствоваться им при проведении работ по защите информации, отнесенной к персональным данным, к банковской тайне, к коммерческой тайне.

В случае, если Комплекс БР ИББС вводится решением организации БС РФ, рекомендуем следующий порядок работы.

1. Представить информацию о принятом решении в Центральный банк Российской Федерации.

2. Провести мероприятия по приведению организации БС РФ в соответствие с требованиями стандарта Банка России СТО БР ИББС-1.0.

3. Применять Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ.

4. Провести оценку соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0. Оценку соответствия рекомендуется поручать организациям, имеющим опыт проведения аудита информационной безопасности и оценки соответствия требованиям стандарта Банка России СТО БР ИББС-1.0. В случае невозможности проведения оценки соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 силами сторонней организации, организацией собственными силами проводится самооценка соответствия требованиям стандарта Банка России СТО БР ИББС-1.0.

5. Выпустить документ о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям Регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий).

6. По готовности, но не позже 31 декабря 2010 года направить этот документ в адрес Банка России и территориальных органов Регуляторов. В дальнейшем направлять этот документ в Банк России и Регуляторам один раз в три года.

В случае, если Комплекс БР ИББС в кредитной организации не вводится, она должна руководствоваться нормативно-правовыми актами ФСБ России, Роскомнадзора и ФСТЭК России.

Председатель Центрального банка

Российской Федерации

С.М.ИГНАТЬЕВ

Президент

Ассоциации российских банков

Г.А.ТОСУНЯН

Президент

Ассоциации региональных

банков России

А.Г.АКСАКОВ

Согласовано:

Руководитель

Научно-технической

службы Федеральной

службы безопасности

Российской Федерации

Н.В.КЛИМАШИН

Заместитель руководителя

Федеральной службы

по надзору в сфере

связи, информационных

технологий и массовых

коммуникаций

Р.В.ШЕРЕДИН

Первый заместитель

директора Федеральной

службы по техническому

и экспортному контролю

В.В.СЕЛИН