1 / 42

Опыт Банка России в разработке отраслевых стандартов в области персональных данных

Опыт Банка России в разработке отраслевых стандартов в области персональных данных. Выборнов Андрей Олегович Банк России к.т.н. Политико-правовые предпосылки. 1. Федеральный закон Российской Федерации № 152-ФЗ «О персональных данных» был принят 27 июля 2006 года.

irma-sharpe
Télécharger la présentation

Опыт Банка России в разработке отраслевых стандартов в области персональных данных

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Опыт Банка России в разработке отраслевых стандартов в области персональных данных Выборнов Андрей Олегович Банк России к.т.н.

  2. Политико-правовые предпосылки 1. Федеральный закон Российской Федерации № 152-ФЗ «О персональных данных» был принят 27 июля 2006 года. Формальным поводом для его принятия послужили многочисленные факты кражи баз персональных данных в государственных и коммерческих структурах и их повсеместная продажа (попытка в помощью его решить проблему безопасности баз данных персональных данных в России). 2. На самом же деле основной целью принятия данного закона явилась необходимость устранения определенных барьеров в торговле со странами Евросоюза. Принятие Российского закона о персональных данных стало следствием присоединения 7 ноября 2001 года Российской Федерации к Европейской Конвенции 1981 года «О защите личности в связи с автоматической обработкой персональных данных», определяющей основные принципы защиты персональных данных в европейских странах. Отказа от курса на применение Закона не будет

  3. Регуляторы в области персональных данных • Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) - уполномоченный орган по защите прав субъектов персональных данных. • Федеральная служба по техническому и экспортному контролю – уполномоченный орган по защите персональных данных, за исключением шифровальных (криптографических) средств защиты информации. • Федеральная служба безопасности - уполномоченный орган по защите персональных данных в части шифровальных (криптографических) средств защиты информации.

  4. Нормативная база Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных». Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" (далее – Постановление Правительства №781) Постановление Правительства РФ от 6 июля 2008 г. N 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных" (далее – Постановление Правительства № 512) Постановление Правительства РФ от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" (далее – Постановление Правительства № 687) Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных"

  5. Нормативно-методические документы ФСТЭК • «Положение о методах и способах защиты информации в информационных системах персональных данных» (Приказ от 5 февраля 2010 г. N 58) • «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Утверждена Заместителем директора ФСТЭК России 14.02.2008) • «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Утверждена Заместителем директора ФСТЭК России 15.02.2008)

  6. Нормативно-методические документы ФСБ • «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» • «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»

  7. Постановление Правительства РФ № 781 Постановление Правительства РФ № 687 Обработка с использованием средств автоматизации Обработка без использования средств автоматизации Обеспечение безопасности персональных данныхпри их обработке. Нормативная база. ФЗ «О персональных данных», статья 19: Меры по обеспечению безопасности персональных данных при их обработке Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры Правительство РФ устанавливает требования к обеспечению безопасности персональных данных Постановление Правительства РФ № 512 Классификация ИСПДн Требования Требования к материальным носителям биометрических данных Документы ФСТЭК Документы ФСБ Контроль и надзор за выполнением требований, установленных Правительством РФ, осуществляют ФСБ и ФСТЭК с привлечением к ответственности

  8. Особенности деятельности по защите ПД • Согласно Директиве 95/46/ЕС Евросоюза персональные данные могут передаваться только в страны, обеспечивающие такой же уровень защиты, как и в Европе. Это существенно тормозило обмен сведениями европейских госучреждений и компаний со своими зарубежными партнерами. Такие ограничения испытывали на себе не только Россия и страны третьего мира, но и США. Под защитой прав субъектов в европейском законодательстве понимается применение комплекса юридических инструментов, на что и нацелено законодательство. Технические меры зашиты направлены на защиту самих ПД, а не прав субъектов ПД и рассматриваются как дополнительные. Их применение регулируется иным законодательством и международными стандартами по информационной безопасности. Официальных сведений о сопоставлении европейских и российских уровней технической защиты персональных данных нет. Экспресс-сравнение наиболее распространенных стандартов безопасности ISO и Российских документов говорит о том, что требования, разработанные в нашей стране гораздо жестче, чем применяемые в ЕС

  9. Отличия в подходе к решению проблемы в ЕС и РФ • ЕС: - Высокая гибкость в вопросах применения конвенции, оперативное внесение корректировок, соблюдение принципа баланса интересов сторон • РФ: - Некорректность процесса корректировки положений Закона - Абсолютизация интересов субъекта персональных данных в ущерб другой стороне - Абсолютизация подхода к защите информации, основанного на устаревшей идеологии

  10. Особенности проблемы • Неизвестны случаи реального нанесения ущерба (материального, морального) субъектам персональных данных • Известны только случаи нарушения требований ФЗ №152 • Наиболее жестко защищаемые категории ПД (специальные категории ПД) на самом деле являются публичными. Так например: СМИ и Участники гей-парада в Москве нарушают Закон, так как они не скрывают своей ориентации, а другие не имеют согласия участников на публикацию информации о них. видеотрансляции из храмов осуществляются публично без письменного согласия верующих состояние здоровья инвалида на виду всех национальность и расовая принадлежность написана на лице и т.д. • Закон ставит системы видеонаблюдения вне Закона • Ответственность за нарушение правил, установленных Законом, а не за понесенный ущерб крайне высока и имеет тенденцию к ужесточению. Тем самым, степень наказания за нарушение формальных требований без видимых последствий ставится в один ряд с реальными правонарушениями, несущими явную угрозу гражданам или обществу (например штраф за переход дороги в неположенном месте, потенциально влекущий за собой смерть или увечье людей) Новое: проблема вышла за рамки подразделений ИБ и требует значительных объемов грамотной юридической поддержки

  11. Проблемы в исполнении законодательства в области персональных данных • Легитимность и полнота нормативной базы. • Задержка в сроках ввода в действие нормативных документов • Расплывчатость и возможность неоднозначной трактовки положений нормативных документов • Наличие правовых коллизий и противоречий • Требования законодательства не учитывают особенностей деятельности организаций кредитно-финансовой сферы

  12. Проблемы в исполнении законодательства в в части обеспечения защиты персональных данных • Противоречивость и неоднозначность требований нормативных документов в части обеспечения защиты персональных данных • Сложность реализации, устаревшая методология защиты, высокая стоимость реализации защиты, полное игнорирование ресурсных возможностей кредитных организаций • Требования нормативных документов рассчитаны на другие экономические условия и не учитывают масштабы и профиль деятельности многих кредитных организаций • Требования к квалификации персонала • Необходимость обоснования уровня защиты и мероприятий по обеспечению безопасности персональных данных

  13. Возникают ли трудности припроведении классификации ИСПДн? Основные трудности: • Отнесение ИСПДн к типовым или специальным; • Определение категорий персональных данных; • Классификация типовых ИСПДн – различия между персональными данными категории 2 и категории 3 в соответствии с Порядком проведения классификации; • Определение класса специальных ИСПДн.

  14. На кого приходится основная доля работ по доработке ИСПДн? Каковы затраты на доработку ИСПДн?

  15. Основные трудности при обеспечении безопасности персональных данных Основные проблемы: 1. Реализация требований на практике 2. Бюджетные ограничения Доработка систем потребует выделения значительных средств. Возникает риск, что в условиях кризиса банки не смогут профинансировать подобные доработки. 3. Отсутствие квалифицированных кадров В подавляющем большинстве случаев доработать сложную систему в состоянии только ее разработчик.

  16. Примеры несовершенства законодательства • Получение письменного согласия клиентов и третьих лиц кредитных организаций • Невозможность хранения персональных данных • Необходимость обработки запросов субъектов персональных данных • Отзыв субъектами персональных данных согласия на обработку их персональных данных • Использование систем видеонаблюдения • Трансграничная передача персональных данных

  17. Результат Требования законодательства в области персональных данных: • Учитывают только интересы субъектов персональных данных в ущерб интересов операторов. • Не учитывают специфику организации банковских технологических процессов, что влечет повышение рисков банковской деятельности или невозможность ее выполнения. • Создание препятствий в работе, в частности в области кредитования. • Существенно растут операционные, правовые, финансовые и репутационные риски кредитной организации.

  18. Стоимость Оценка Банка России: 2 млрд. рублей, срок 5-8 лет. Оценка АРБ: типовой банк – 50 млн. рублей. Оценка независимых экспертов: 2-3 млн. рублей для отдельной ИСПДн. 3-7 млн. ИСПДн.

  19. Последствия • Россвязькомнадзор вправе (часть 3 статьи 23 федерального закона «О персональных данных»): принимать в установленном законодательством РФ порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушениями требований закона; направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством РФ порядке. • Россвязькомнадзор обязан принимать в установленном законодательством порядке по представлению ФСБ или ФСТЭК меры по приостановлению или прекращению обработки персональных данных(часть 5 статьи 23 федерального закона «О персональных данных»).

  20. Что делать Совершенствование законодательства: • уточнить случаи, при которых согласие субъекта персональных данных на обработку его персональных данных не требуется; • уточнить положения, устанавливающие право субъекта на доступ к своим персональным данным, а также уточняющие режим использования этих данных оператором; • уточнить требования об уничтожении персональных данных по завершении целей их обработки с учетом возможности практической реализации этой задачи; • обеспечить соразмерность мер по обеспечению безопасности персональных данных возможному размеру ущерба субъекту персональных данных и возможности возникновения такого ущерба.

  21. Приказ Председателя Банка России «О мерах по выполнению Федерального закона “О персональных данных”» 1. Утверждение документов • «Временный порядок обработки персональных данных в информационных системах персональных данных Банка России» • «Временный порядок обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных Банка России» • «Частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных Банка России» 2. Проведение анализа эксплуатируемых и создаваемых систем с целью определения их принадлежности к ИСПДн • К ИСПДн Банка России относятся системы, целью создания и использования которых является обработка персональных данных 3. Проведение работ по классификации ИСПДн. • Все информационные системы персональных данных Банка России относятся к специальным. • Подход к классификации ИСПДн Банка России - на основе определенных в Федеральном законе «О персональных данных» категорий ПДн. 4. Разработка Плана организационных и технических мероприятий по приведению ИСПДн в соответствие с документами. 5. Доработка эксплуатируемых и разработки новых систем в соответствии с документами.

  22. «Временный порядок обработки персональных данных в информационных системах персональных данных Банка России» • Цели обработки персональных данных в Банке России; • Перечень персональных данных, обрабатываемых в ИСПДн информационных системах Банка России; • Требования по объему, содержанию, срокам обработки персональных данных в Банке России; • Условия получения согласия на обработку персональных данных и форму такого согласия; • Порядок доступа работников Банка России к обработке персональных данных; • Требования к порядку хранения носителей персональных данных; • Условия прекращения обработки персональных данных и порядок уничтожения персональных данных; • Порядок обработки обращений субъектов (или их законных представителей) по вопросам обработки их персональных данных, также порядок действий в случае запросов Уполномоченного органа по защите прав субъектов персональных данных.

  23. «Частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных Банка России» Оценка рисков* Неактуальные угрозы безопасности персональных данных Актуальные угрозы безопасности персональных данных … Угрозы утечки информации по каналам ПЭМИН Угрозы утечки акустической информации … Частная модель угроз безопасности персональных данных Средства защиты от программно- математических воздействий – антивирусные средства Классификация ИСПДн Требования по обеспечению безопасности персональных данных в ИСПДн

  24. «Временный порядок обеспечения безопасности персональных данных, обрабатываемых в информационных системах персональных данных Банка России» • В Банке России выделяются следующие основные типы ИСПДн: ИСПДн обработки специальных категорий ПДн, ИСПДн обработки биометрических ПДн, ИСПДн обработки ПДн, не являющихся биометрическими и не относящихся к специальным категориям, доступ к которым должен быть ограничен, ИСПДн обработки общедоступных и (или) обезличенных ПДн. • Общие требования по обеспечению безопасности ПДн для ИСПДн любого типа Администрирование информационной безопасности ИСПДн; Обеспечение ИСПДн документацией – проектной и эксплуатационной; Обеспечение ИБ на всех стадиях жизненного цикла ИСПДн, контроль со стороны подразделений безопасности и защиты информации; Организация защиты ИСПДн от воздействия вредоносного кода; Работа с материальными носителями персональных данных. • Требования по обеспечению безопасности персональных данных для каждого из типов ИСПДн Требования к организационным, технологическим, техническим и программным мерам, средствам и механизмам защиты. Управление доступом, регистрация и учет, обеспечение целостности. … • Контроль обеспечения информационной безопасности ПДн

  25. Принцип отраслевого подхода 152 - ФЗ Рекомендации по обработке ПД Требования регуляторов • Модель • Что нужно сделать • Отраслевая модель • на принципах риск-менеджмента • Требования (что делать) • Методика проверки • соответствия требованиям Отраслевой стандарт Отраслевые рекомендации • Как сделать

  26. Особенности информации, обрабатываемой в кредитной организации Виды информации, подлежащей защите в кредитной организации (виды тайн) персональные данные банковская тайна коммерческая тайна Ограниченного доступа (ДСП) сведения о личности внутренняя банковская служебная информация, представляющая инсайдерский интерес информация о кредитных историях клиентов биометрические данные В кредитной организации необходимо защищать все виды информации информация о здоровье 26

  27. Реальные угрозы информации, обрабатываемой в кредитной организации Инсайдерская деятельность сотрудников кредитной организации (использование информации, подделка документов, вброс фальшивых электронных платежей путем атаки на ключи подписи, увод средств со счетов и т.д.); Атаки на системы ДБО на уровне клиентских автоматизированных рабочих мест; Сетевые распределенные атаки (DDoS атаки) на сайты банков; Вирусные заражения; Прямые сетевые атаки с целью получения доступа (НСД) к ресурсам; Атаки на платежные карты; Атаки на банкоматы и платежные терминалы; Подделка документов клиентами. Все представленные угрозы носят универсальный характер и представляют опасность для всех видов информации 27

  28. Объем задач, подпадающих по предмет общего регулирования Банковская тайна Предмет общего регулирования ~ 90% Персональные данные • Методами общего регулирования обеспечивается информационная безопасность всех видов информации банка • В 90% случаев для обеспечения необходимого уровня информационной безопасности достаточно общих требований по безопасности • Основное – это защита: • баз данных, • коммуникационных систем, • систем документооборота Коммерческая тайна 28

  29. Предлагаемый подход Отраслевое регулирование путем создания отраслевых стандартов Создания саморегулируемой организации (СРО) в этой сфере Стандартные подходы и универсальные защитные меры применяются к защите всех видов тайн Подходы к обеспечению безопасности средствами криптографической защиты информации распространяются на все случаи их применения При формировании стандартных подходов учитываются в том числе требования по выполнению законодательства (пример – добавление раздела 7.10 в четвертую редакцию СТО БР ИББС-1.0, соответствующего ФЗ № 152 «О персональных данных») Все ИСПДн организаций БС РФ – специальные* Если персональные данные обрабатываются в рамках установленных режимов защиты (режим банковской и других видов тайн) на них распространяются требования соответствующего режима защиты и дополнительные меры защиты не требуются Усиленный контроль обеспечения информационной безопасности, обязательное документирование результатов контроля, отчетность перед регуляторами 29

  30. Принципы разработки отраслевых документов Постановления Правительства № 781 № 512 № 687 Организации банковской системы РФ ФЗ № 152 «О персональных данных» Отраслевые документы Модель угроз Что актуально ? Стандарты Банка России СТО БР ИББС-1.0 СТО БР ИББС-1.2 РС БР ИББС – 2.3 РС БР ИББС – 2.4 Какие требования? Рекомендации Роскомнадзор ФСБ России ФСТЭК России Как внедрить? Документы Регуляторов по обеспечению безопасности персональных данных Ввод в действие приказом и реализация требований Механизм внедрения Контроль в виде самооценок и внешних оценок соответствия Оформление «Подтверждения соответствия СТО БР ИББС-1.0 30

  31. Отраслевые документы 1. Доработанные в части требований по обработке и обеспечению безопасности ПДн в соответствии с Отраслевой моделью угроз стандарты Банка России отраслевого применения СТО БР ИББС-1.0-20хх "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" и СТО БР ИББС-1.2-20хх "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0". 2. Отраслевую частную модель угроз безопасности ПДн при их обработке в информационных системах персональных данных (ИСПДн) в организациях банковской системы Российской Федерации. 3. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных

  32. Отраслевая частная модель угрозРС БР ИББС – 2.4 • Отраслевая модель угроз разработана на основе документов ФСТЭК России "Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" и "Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных". • Отраслевая модель угроз содержит систематизированный перечень актуальных угроз безопасности ПДн при их обработке в ИСПДн, источников актуальных угроз безопасности ПДн, уровней реализации угроз безопасности ПДн, типов материальных объектов среды обработки ПДн. • Актуальная угроза безопасности ПДн – угроза безопасности ПДн, риск реализации которой воспринимается организацией БС РФ как недопустимый риск нарушения безопасности ПДн в соответствии с оценкой рисков нарушения безопасности ПДн, обрабатываемых в ИСПДн. • Актуальные угрозы безопасности ПДн являются основой для определения требований по обеспечению безопасности ПДн, направленных на нейтрализацию этих угроз.

  33. Отраслевой стандарт СТО БР ИББС - 1.0 СТО БР ИББС-1.0 расширяется за счет дополнительных требований по персональным данным: • Дополнение раздела 7.7 "Общие требования по обеспечению ИБ при использовании СКЗИ" (регулятор - ФСБ России); • Добавление раздела 7.10 "Общие требования по обработке персональных данных в организациях БС РФ" (регулятор - Роскомнадзор); • Добавление раздела 7.11 "Общие требования по обеспечению ИБ банковских технологических процессов, в рамках которых обрабатываются персональные данные" (регулятор – ФСТЭК России); • Изменение раздела 9 "Проверка и оценка информационной безопасности организаций банковской системы Российской Федерации".

  34. Отраслевой стандарт СТО БР ИББС - 1.0 • СИБ банковского платежного технологического процесса, в рамках которого обрабатываются персональные данные, должна соответствовать требованиям пункта 7.8 настоящего стандарта. • СИБ банковского информационного технологического процесса, в рамках которого обрабатываются персональные данные вне ИСПДн, должна соответствовать требованиям пункта 7.9. • СИБ банковского информационного технологического процесса, в рамках которого обрабатываются персональные данные в ИСПДн, должна соответствовать требованиям пункта 7.9 и 7.11. • Все ИСПДн организаций БС РФ относятся к специальным • В организации БС РФ должны быть определен и документально зафиксирован подход к отнесению АБС к информационным системам персональных данных (ИСПДн).

  35. Отраслевой стандарт СТО БР ИББС - 1.0 СКЗИ должны быть сертифицированы уполномоченным государственным органом, либо иметь разрешение ФСБ России. Требование получения лицензии на деятельность по технической защите конфиденциальной информации при проведении мероприятий по обеспечению безопасности в специальных ИСПДн для собственных нужд организаций БС РФ, а также требование проведения аттестации специальных ИСПДн не устанавливаются. Требование получения организацией БС РФ лицензии ФСБ России на виды деятельности, связанные с эксплуатацией шифровальных (криптографических) средств как отечественных, так и импортных: деятельность по распространению шифровальных (криптографических) средств; деятельность по техническому обслуживанию шифровальных (криптографических) средств; предоставление услуг в области шифрования информации, является обязательным в случае предоставления услуг или осуществления предпринимательской деятельности.

  36. Отраслевой стандарт СТО БР ИББС - 1.2 • Формирование дополнительных обобщенных оценок для каждого из регуляторов в области персональных данных • Требования к Подтверждению соответствия, направляемого регуляторам Предлагается привлечь к работам по оценке соответствия лицензиатов ФСБ России и ФСТЭК России - прохождение обучения по программам подготовки аудиторов информационной безопасности в соответствии со стандартами Банка России. В настоящее время такое обучение пройдено рядом организаций, являющихся членами Сообщества ABISS. Эти организации привлекаются для проведения работ по оценке соответствия требованиям стандарта Банка России СТО БР ИББС-1.0, в том числе в территориальных учреждениях Банка России.

  37. Требования по обеспечению безопасности персональных данных в информационных системах персональных данныхРС БР ИББС – 2.3 Определяют конкретные требования к ИСПДн. Детализируют требования СТО БР ИББС – 1.0 Разработаны на основе: нормативной базы Банка России; «Положение о методах и способах защиты информации в информационных системах персональных данных» (Приказ от 5 февраля 2010 г. N 58); отраслевой частной модели угроз. Применяются к банковским технологическим процессам в которых персональные данные обрабатываются в ИСПДн.

  38. Требования по обеспечению безопасности персональных данных в информационных системах персональных данныхРС БР ИББС – 2.3 Определяют требования к следующим классам ИСПДн: • ИСПДн обработки специальных категорий персональных данных; Примечание: к специальным категориям персональных данных относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. • ИСПДн обработки биометрических персональных данных; Примечание: к биометрическим персональным данным относятся сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. • ИСПДн обработки персональных данных, не являющихся биометрическими и не относящихся к специальным категориям, доступ к которым должен быть ограничен; • ИСПДн обработки общедоступных и (или) обезличенных персональных данных. Примечание: к общедоступным персональным данным относятся персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

  39. Что было сделано. Сформулирована идея отраслевого регулирования Под эгидой АРБ создана рабочая группа по разработке типовых рекомендаций ЦБ РФ разработал типовую модель угроз безопасности ПД, а также доработал текущие версии базового стандарта безопасности и методику оценки соответствия под требования регуляторов с объявленными ограничениями Разработаны предложения по процедуре ввода стандартов действие и процедуре отчетности Все пакеты документов были предварительно обсуждены с регуляторами и направлены им с предложениями обсудить или согласовать 39

  40. О практическом применении отраслевых стандартов 1. Ввести Стандарты Банка России приказом по организации БС РФ и руководствоваться ими при проведении работ по защите информации, отнесенной к персональным данным, к банковской тайне, к коммерческой тайне. 2. Провести мероприятия по приведению организации в соответствие с требованиями стандарта Банка России СТО БР ИББС-1.0-20хх. 3. Руководствоваться Рекомендациями. 5. Провести оценку соответствия требованиям стандарта Банка России СТО БР ИББС-1.0-20хх. Оценку соответствия рекомендуется поручать организациям, имеющим опыт проведения аудита информационной безопасности и оценки соответствия требованиям стандарта Банка России СТО БР ИББС-1.0-20хх Банка России.

  41. О практическом применении отраслевых стандартов 6. Выпустить документ о подтверждении соответствия требованиям стандарта Банка России СТО БР ИББС-1.0-20хх с указанием соответствия в целом и по направлениям Регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий). 7. По готовности, но не позже 31 декабря 2010 года направить этот документ в адрес Банка России и территориальных органов Регуляторов. В дальнейшем направлять такой документ Регуляторам один раз в два года. В случае, если Стандарты Банка России не вводятся приказом, организации БС РФ следует руководствоваться общими документами законодательства в области персональных данных - Федеральным законом "О персональных данных", Постановлениями Правительства Российской Федерации, документами Роскомнадзора, ФСБ России и ФСТЭК России.

  42. Главная задача – согласование требований с регуляторами и работа по единым методикам контроля Благодарю за внимание А.О. Выборнов Банк России

More Related