Присоединяйтесь!
Зарегистрированных пользователей портала: 506 315. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"РЕКОМЕНДАЦИИ В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ "ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ" РС БР ИББС-2.3-2010" (утв. РАСПОРЯЖЕНИЕМ ЦБ РФ от 21.06.2010 N Р-705)

Дата документа21.06.2010
Статус документаДействует
МеткиРекомендации · Распоряжение · Рс бр

    

РЕКОМЕНДАЦИИ
В ОБЛАСТИ СТАНДАРТИЗАЦИИ БАНКА РОССИИ

 

РС БР ИББС-2.3-2010

 

ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

ТРЕБОВАНИЯ
ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

Дата введения: 2010-06-21

 

Предисловие

 
    1. ПРИНЯТЫ И ВВЕДЕНЫ в действие Распоряжением Банка России от 21 июня 2010 года N Р-705.
    2. ВВЕДЕНЫ ВПЕРВЫЕ.
    Настоящие рекомендации в области стандартизации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Банка России.
 

Введение

 
    В соответствии с действующим стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) важнейшим условием реализации целей деятельности Банка России является обеспечение необходимого и достаточного уровня информационной безопасности организаций банковской системы Российской Федерации (БС РФ), их активов, к которым в том числе относятся персональные данные и банковские технологические процессы, в рамках которых они обрабатываются.
    Стандартом СТО БР ИББС-1.0 с целью выполнения в организациях БС РФ требований законодательства Российской Федерации в области персональных данных определены требования по обработке персональных данных и по обеспечению информационной безопасности (ИБ) банковских технологических процессов, в рамках которых обрабатываются персональные данные (далее - требования СТО БР ИББС-1.0 в области персональных данных).
    Настоящий документ содержит детализирующие требования по обеспечению безопасности персональных данных, выполнение которых способствует реализации в организациях БС РФ требований СТО БР ИББС-1.0 в области персональных данных и обеспечивает нейтрализацию актуальных для организаций БС РФ угроз безопасности персональных данных, содержащихся в рекомендациях в области стандартизации Банка России РС БР ИББС-2.x-20xx "Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций БС РФ".
 

1. Область применения

 
    Настоящие рекомендации распространяются на организации БС РФ, реализующие требования стандарта СТО БР ИББС-1.0 в области персональных данных, в рамках построения/совершенствования системы обеспечения информационной безопасности организации БС РФ.
    Настоящий документ применяется в организации БС РФ путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних нормативных и методических документах организаций БС РФ.
    Рекомендательный статус документа допускает, что его отдельные требования по решению организации БС РФ могут быть заменены иными требованиями, обеспечивающими эквивалентный (аналогичный) уровень безопасности персональных данных.
 

2. Нормативные ссылки

 
    В настоящих рекомендациях в области стандартизации Банка России использованы нормативные ссылки на следующие документы в области стандартизации Банка России:
    СТО БР ИББС-1.0;
    СТО БР ИББС-1.2 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0" (далее - СТО БР ИББС-1.2).
 

3. Термины и определения

 
    В настоящих рекомендациях применены термины в соответствии со СТО БР ИББС-1.0.
 

4. Обозначения и сокращения

 
    АРМ - автоматизированное рабочее место;
    БС - банковская система;
    ИБ - информационная безопасность;
    ИСПДн - информационная система персональных данных;
    ЛВС - локальная вычислительная сеть;
    ОС - операционная система;
    ПО - программное обеспечение;
    РФ - Российская Федерация;
    СКЗИ - средства криптографической защиты информации;
    СУБД - система управления базы данных.
 

5. Общий подход к определению требований по обеспечению безопасности персональных данных в информационных системах персональных данных

 
    5.1. Выбор требований по обеспечению безопасности персональных данных в информационных системах персональных данных (ИСПДн) осуществляется в зависимости от результатов классификации ИСПДн.
    5.2. В соответствии с действующим стандартом СТО БР ИББС-1.0 все ИСПДн организаций БС РФ относятся к специальным. ИСПДн организации БС РФ классифицируются на основе категорий обрабатываемых в ИСПДн персональных данных. Выделяются следующие основные классы ИСПДн:
    ИСПДн обработки специальных категорий персональных данных (далее - ИСПДн-С);
    Примечание.
    В соответствии с Федеральным законом от 27 июля 2006 года "О персональных данных" [1] к специальным категориям персональных данных относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
 
    ИСПДн обработки биометрических персональных данных (далее - ИСПДн-Б);
    Примечание.
    В соответствии с Федеральным законом от 27 июля 2006 года "О персональных данных" [1] к биометрическим персональным данным относятся сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность.
 
    ИСПДн обработки персональных данных, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным (далее - ИСПДн-И);
    ИСПДн обработки общедоступных и (или) обезличенных персональных данных (далее - ИСПДн-Д).
    Примечание.
    В соответствии с Федеральным законом от 27 июля 2006 года "О персональных данных" [1] к общедоступным персональным данным относятся персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
    В соответствии с Федеральным законом от 27 июля 2006 года "О персональных данных" [1] обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
 
    5.3. Для обеспечения выполнения требований СТО БР ИББС-1.0 в ИСПДн организации БС РФ для каждой ИСПДн должны быть реализованы:
    - общие требования по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн любого класса (раздел 6.1 настоящих рекомендаций);
    - требования по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн соответствующего класса (разделы 6.2 - 6.5 настоящих рекомендаций).
    5.4. Связь положений СТО БР ИББС-1.0 и требований настоящего документа, необходимых для реализации этих положений, приведена в Приложении.
    5.5. При проведении оценок соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 (самооценок и внешних оценок соответствия) вопросы частных показателей СТО БР ИББС-1.2 в части банковских технологических процессов, в рамках которых обрабатываются персональные данные, детализируются и конкретизируются вопросами, составленными на основе требований настоящего документа. Перечень указанных детализирующих и конкретизирующих вопросов, а также подход к проведению оценок соответствия ИБ содержатся в СТО БР ИББС-1.2.
 

6.