Вопросы ввода СТО БР ИББС 2010 Октябрь

Нормативная база РФ Законы 2

Что нас ожидает Ориентировочно на ноябрь запланировано 2-е чтение законопроекта Срок второго чтения законопроекта пока не определен С июня 2010 года организованы Общественные слушания по совершенствованию законодательства в области персональных данных на сайте fz-152.orgfz-152.org 3

Что нас ожидает Федеральный закон Российской Федерации от 27 июля 2010 г. N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»Об организации предоставления государственных и муниципальных услуг В сентябре 2010 Минфином подготовлен проект закона «О национальной платежной системе» 4

Что нас ожидает 8 октября 2010 принят в 1-м чтении законопроект октября 2010 принят в 1-м чтении законопроект На сайте Минкомсвязи выложены предложения по изменениювыложены 5

Что нас ожидает 22 сентября 2010 принят в 1-м чтении законопроект января 2010 принят в 1-м чтении законопроект

Что нас ожидает На 2011 год запланирован тендер на национальную операционную систему 7

Методика определения актуальных угроз* Методичес- кие рекоменда- ции * Базовая модель угроз безопасности персональных данных* (ДСП) Приказ от 5 февраля 2010 г. N 58 Текущая ситуация в области защиты ПДн 8 Постановление Правительства РФ от 15 сентября 2008 г. 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» Постановление Правительства РФ от 17 ноября 2007 г. 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» Постановление Правительства РФ от 15 мая 2010 г. 330 (ДСП) «Об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством Российской Федерации информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)» Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» Методические документы ФСТЭКМетодические документы ФСБ (*) Методические документы ФСТЭК и ФСБ не прошли регистрацию в Минюсте и являются рекомендательными Типовые требования * Постановление Правительства РФ от 6 июля 2008 г. 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

Текущая ситуация в области защиты ПДн /3148 от (Письмо шести) Комплекс БР ИББС СТО БР ИББС Четвертая редакция стандарта Банка России отраслевого применения СТО БР ИББС "Обеспечение информационно й безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС Третья редакция стандарта Банка России отраслевого применения СТО БР ИББС "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0" РС БР ИББС-2.4 Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации» РС БР ИББС-2.3 Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации» Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ, разработанные совместно Банком России, АРБ и Ассоциацией региональных банков России (Ассоциацией «Россия»)

Правовой статус Комплекса БР ИББС 10 Федеральным Законом от ФЗ «О техническом регулировании» установлен рекомендательный статус стандартов и иных документов по стандартизации. В соответствии с указанным Федеральным Законом стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение об их введении. Центральный банк Российской Федерации, Ассоциация российских банков и Ассоциация региональных банков России рекомендуют ввести Комплекс БР ИББС решением организации БС РФ (приказом, распоряжением) и руководствоваться им при проведении работ по защите информации, отнесенной к персональным данным, к банковской тайне, к коммерческой тайне.

Альтернативная ситуация 11 В случае, если Комплекс БР ИББС в кредитной организации не вводится, она должна руководствоваться нормативно-правовыми актами ФСБ России, Роскомнадзора и ФСТЭК России.

12 Банковская тайна Федеральный закон "О банках и банковской деятельности" от N Статья 26. Банковская тайна Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону. (в ред. Федерального закона от N 181-ФЗ) Гражданский кодекс РФ (ГК РФ) от N 14-ФЗ - Часть 2 Статья 857. Банковская тайна 1. Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте. 2. Сведения, составляющие банковскую тайну, могут быть предоставлены только самим клиентам или их представителям, а также представлены в бюро кредитных историй на основаниях и в порядке, которые предусмотрены законом. Государственным органам и их должностным лицам такие сведения могут быть предоставлены исключительно в случаях и порядке, которые предусмотрены законом. (п. 2 в ред. Федерального закона от N 219-ФЗ) 3. В случае разглашения банком сведений, составляющих банковскую тайну, клиент, права которого нарушены, вправе потребовать от банка возмещения причиненных убытков.

13 Информационные ресурсы конфиденциального характера в банке Информационные ресурсы конфиденциального характера в банке будут выглядеть примерно так: Коммерческая тайна Банковская тайна Персональные данные

Автоматизированные банковские системы 14 АБС АБС в которых обрабатываются персональные данные АБС с платежной информацией ИСПДн

2 месяца до Что можно успеть сделать? 15 Принять решение о поддержке Комплекса БР ИББС или выполнении общих требований Сформировать комиссию по приведению Провести предварительную оценку/самооценку текущего состояния Сформировать план приведения и заложить бюджет его выполнения на 2011 год До o сообщить о принятом решении в ЦБ РФ o Провести оценку/самооценку соответствия o Направить документы подтверждения соответствия в ЦБ РФ и территориальным органам Регуляторов Приступить в реализации плана приведения

Что такое СЗИ СРЕДСТВО ЗАЩИТЫ ИНФОРМАЦИИ - техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации

ОПО, ППО, СПО Общеприменительная терминология Общее программное обеспечение, ОПО [general software] - совокупность управляющих и обрабатывающих программ, предназначенных для планирования и организации вычислительного процесса, автоматизации программирования и отладки программ. Прикладное (специальное) Программное Обеспечение, ППО/СПО* [application (special) software] - часть программного обеспечения, состоящая из отдельных прикладных программ и пакетов прикладных программ, предназначенных для решения различных задач пользователей ЭВМ и созданных на их основе автоматизированных систем. * Не путать с проприетарным/свободным программным обеспечением 17

ОПО, СПО Терминология по ГОСТ 34 серии 6.2 общее программное обеспечение автоматизированной системы; ОПО AC: Часть программного обеспечения АС, представляющая собой совокупность программных средств, разработанных вне связи с созданием данной АС. Примечание. Обычно ОПО АС представляет собой совокупность программ общего назначения, предназначенных для организации вычислительного процесса и решения часто встречающихся задач обработки информации 6.3 специальное программное обеспечение автоматизированной системы; СПО АС: Часть программного [обеспечения] АС, представляющая собой совокупность программ, разработанных при создании данной АС 18

Соответствие между СТО БР ИББС и требованиями Регуляторов 19

Оператор персональных данных Евроконвенция 2.d. "контролер базы данных" означает физическое или юридическое лицо, государственный орган, ведомство или любую другую организацию, которая в соответствии с национальным правом наделена полномочиями решать, для какой цели создается автоматизированная база данных, какие категории персональных данных будут накапливаться и какие операции с ними будут осуществляться. 152-ФЗ 3.2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных; 20

Определение ИСПДн 152-ФЗ 3.9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств; 21

Предложения Правительства по ст.6 ЗоПД 5) в статье 6: а) в части 1 слова "может осуществляться оператором" заменить словом "осуществляется"; б) в части 2: дополнить пунктом 1 2 следующего содержания: "1 2 ) обработка персональных данных осуществляется в целях заключения договора с физическим лицом, которое в целях заключения этого договора предоставило оператору свои персональные данные или персональные данные третьего лица - выгодоприобретателя по заключаемому договору, при условии, что такая обработка осуществляется до момента заключения договора, но в любом случае не более шести месяцев с момента получения персональных данных;"; 22

Предложения Правительства по ст.6 ЗоПД пункт 2 изложить в следующей редакции: "2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого или выгодоприобретателем по которому является субъект обрабатываемых персональных данных, в том числе для осуществления расчетов за товары, работы, услуги, рассмотрения претензий и взыскания задолженности;"; в пункте 3 слово "научных" заменить словом "исследовательских"; в) часть 4 изложить в следующей редакции: "4. Для достижения целей обработки персональных данных, определенных согласием субъекта персональных данных на обработку своих персональных данных, оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора, в том числе государственного (муниципального) контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). 23

Предложения Правительства по ст.6 ЗоПД В поручении оператора должен быть определен перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и установлена обязанность такого лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных, при условии, что оно обрабатывает персональные данные исключительно в целях исполнения поручения оператора, который такое согласие получил. В случае если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор."; 24

Токаренко Александр Владимирович 25