О введении в действие Стандартов и Рекомендаций в области стандартизации Банка России по вопросам информационной безопасности банковской организации Российской Федерации
- Принято
- Центральным банком Российской Федерации,
Ассоциацией российских банков
- 1. Четыре документа, входящие в комплекс документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (далее - Комплекс БР ИББС):
- 1.1. Четвертая редакция стандарта Банка России отраслевого применения СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - стандарт Банка России СТО БР ИББС-1.0), доработанная в части требований по обработке и обеспечению безопасности персональных данных в соответствии с Отраслевой моделью угроз;
- 1.2. Третья редакция стандарта Банка России отраслевого применения СТО БР ИББС-1.2-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0", доработанная в части требований по обработке и обеспечению безопасности персональных данных в соответствии с Отраслевой моделью угроз;
- 1.3. Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.4) (далее - Отраслевая модель угроз);
- 1.4. Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации" (далее - рекомендации в области стандартизации Банка России РС БР ИББС-2.3).
- 2. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ, разработанные совместно Банком России, АРБ и Ассоциацией региональных банков России (Ассоциацией "Россия").
- Документы Комплекса БР ИББС согласованы ФСБ России, Роскомнадзором, ФСТЭК России. Текст документов опубликован в "Вестнике Банка России" и размещен на Web-сайте Банка России в сети Интернет.
- Федеральным законом от 27.12.2002 N 184-ФЗ "О техническом регулировании" установлен рекомендательный статус стандартов и иных документов по стандартизации. В соответствии с указанным Федеральным законом стандарты и иные документы по стандартизации подлежат обязательному исполнению в организациях, если они добровольно принимают решение об их введении.
- Центральный банк Российской Федерации, Ассоциация российских банков и Ассоциация региональных банков России рекомендуют ввести Комплекс БР ИББС решением организации БС РФ (приказом, распоряжением) и руководствоваться им при проведении работ по защите информации, отнесенной к персональным данным, к банковской тайне, к коммерческой тайне.
- В случае, если Комплекс БР ИББС вводится решением организации БС РФ, рекомендуем следующий порядок работы.
- 1. Представить информацию о принятом решении в Центральный банк Российской Федерации.
- 2. Провести мероприятия по приведению организации БС РФ в соответствие с требованиями стандарта Банка России СТО БР ИББС-1.0.
- 3. Применять Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ.
- 4. Провести оценку соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0. Оценку соответствия рекомендуется поручать организациям, имеющим опыт проведения аудита информационной безопасности и оценки соответствия требованиям стандарта Банка России СТО БР ИББС-1.0. В случае невозможности проведения оценки соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 силами сторонней организации, организацией собственными силами проводится самооценка соответствия требованиям стандарта Банка России СТО БР ИББС-1.0.
- 5. Выпустить документ о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям Регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий).
- 6. По готовности, но не позже 31 декабря 2010 года направить этот документ в адрес Банка России и территориальных органов Регуляторов. В дальнейшем направлять этот документ в Банк России и Регуляторам один раз в три года.
- В случае, если Комплекс БР ИББС в кредитной организации не вводится, она должна руководствоваться нормативно-правовыми актами ФСБ России, Роскомнадзора и ФСТЭК России.
- Председатель Центрального банка
- Российской Федерации
- С.М.ИГНАТЬЕВ
- Президент
- Ассоциации российских банков
- Г.А.ТОСУНЯН
- Президент
- Ассоциации региональных
- банков России
- А.Г.АКСАКОВ
- Согласовано:
- Руководитель
- Научно-технической
- службы Федеральной
- службы безопасности
- Российской Федерации
- Н.В.КЛИМАШИН
- Заместитель руководителя
- Федеральной службы
- по надзору в сфере
- связи, информационных
- технологий и массовых
- коммуникаций
- Р.В.ШЕРЕДИН
- Первый заместитель
- директора Федеральной
- службы по техническому
- и экспортному контролю
- В.В.СЕЛИН