Письмо Банка России от от 17.11.2011 № 015-16-9/4713 "О средствах защиты информации, применяемых при обработке персональных данных"
на № А-02/5-398 от 07.06.2011
Уважаемый Гарегин Ашотович!
Банк России рассмотрел запрос Ассоциации Российских Банков о проблемах в реализации требований законодательства в области обеспечения безопасности персональных данных (письмо № А-02/5-398 от 07.06.2011 г.) сообщает следующее.
Отсутствие в настоящее время технических регламентов, устанавливающих требования к средствам защиты информации (СЗИ), используемым для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, делает невозможным как оценку соответствия, так и добровольное или обязательное подтверждение соответствия СЗИ.
Таким образом, до выпуска документов, обеспечивающих выполнение требований законодательства, считаем возможным применение для обеспечения безопасности персональных данных при их обработке в информационных системах встроенных защитных мер, сертифицированных СЗИ, а также средств защиты, не включённых в Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами - участниками таможенного союза, в рамках Евразийского экономического сообщества в торговле с третьими странами.
М.Ю. Сенаторов
Письмо Ассоциации российских банков "О средствах защиты информации, применяемых при обработке персональных данных" в Банк России
Исх. № А-02/5-398
от 07.06.2011
Заместителю Председателя
Центрального банка
Российской Федерации
г-ну Сенаторову М.Ю.
Уважаемый Михаил Юрьевич!
В Ассоциацию российских банков обращаются кредитные организации по вопросам о применения ими Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в части сертификации средств защиты информации.
В соответствии с частью 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Правительство РФ устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Так, на основании Постановления Правительства Российской Федерации от 17.11.2007 № 781 утверждено Положение «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Положение), согласно пункту 5 которого средства защиты информации (далее – СЗИ) должны в установленном порядке проходить процедуру оценки соответствия.
Процедура оценки соответствия регулируется Федеральным законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» (далее – Закон 184-ФЗ).
В статье 2 Закона 184-ФЗ указано, что оценка соответствия заключается в прямом или косвенном определении соблюдения требований, предъявляемых к объекту согласно техническим регламентам, положениям стандартов, сводам правил или условиям договоров, по результатам чего выдается подтверждение соответствия.
Подтверждение соответствия может быть добровольным или обязательным (статья 20 Закона 184-ФЗ). Обязательное подтверждение соответствия проводится только в случаях, установленных техническим регламентом на основании соответствия его требованиям (пункта 1 статьи 23 Закона 184-ФЗ).
Поскольку в настоящее время технический регламент, устанавливающий требования к СЗИ не принят, то у операторов персональных данных отсутствует обязанность использования СЗИ, прошедших процедуру соответствия.
Однако, специалисты по защите персональных данных дают прямо противоположный ответ, ссылаясь при этом на Положение, а также Постановление Правительства РФ от 15.05.2010 № 330, имеющее гриф «ДСП» и нигде не опубликованное.
Учитывая необходимость для кредитных организаций выяснения официальной позиции Банка России, Ассоциация российских банков просит Вас ответить на следующий вопрос:
- влечет ли нарушение действующего законодательства Российской Федерации использование кредитными организациями, осуществляющими обработку персональных данных, средств защиты информации, не прошедших оценку соответствия?
С уважением,
Президент Г.А.Тосунян