ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

Рекомендации в области стандартизации Банка России РС БР ИББС-2.3-2010

Обеспечение информационной безопасности организаций банковской системы Российской Федерации

Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации

____________________________________________________________________
Утратили силу в связи с отменой с 1 июня 2014 года
распоряжения Банка России от 21 июня 2010 года N Р-705 на основании
распоряжения Банка России от 17 мая 2014 года N Р-399
____________________________________________________________________

Дата введения: 2010-06-21

Предисловие

1. ПРИНЯТЫ и ВВЕДЕНЫ в действие распоряжением Банка России от 21 июня 2010 года N Р-705.

2. ВВЕДЕНЫ ВПЕРВЫЕ.

Настоящие рекомендации в области стандартизации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Банка России.

Введение

В соответствии с действующим стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) важнейшим условием реализации целей деятельности Банка России является обеспечение необходимого и достаточного уровня информационной безопасности организаций банковской системы Российской Федерации (БС РФ), их активов, к которым в том числе относятся персональные данные и банковские технологические процессы, в рамках которых они обрабатываются.

Стандартом СТО БР ИББС-1.0 с целью выполнения в организациях БС РФ требований законодательства Российской Федерации в области персональных данных определены требования по обработке персональных данных и по обеспечению информационной безопасности (ИБ) банковских технологических процессов, в рамках которых обрабатываются персональные данные (далее - требования СТО БР ИББС-1.0 в области персональных данных).

Настоящий документ содержит детализирующие требования по обеспечению безопасности персональных данных, выполнение которых способствует реализации в организациях БС РФ требований СТО БР ИББС-1.0 в области персональных данных и обеспечивает нейтрализацию актуальных для организаций БС РФ угроз безопасности персональных данных, содержащихся в рекомендациях в области стандартизации Банка России РС БР ИББС-2.х-20хх "Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций БС РФ".

1. Область применения

Настоящие рекомендации распространяются на организации БС РФ, реализующие требования стандарта СТО БР ИББС-1.0 в области персональных данных, в рамках построения/совершенствования системы обеспечения информационной безопасности организации БС РФ.

Настоящий документ применяется в организации БС РФ путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних нормативных и методических документах организаций БС РФ.

Рекомендательный статус документа допускает, что его отдельные требования по решению организации БС РФ могут быть заменены иными требованиями, обеспечивающими эквивалентный (аналогичный) уровень безопасности персональных данных.

2. Нормативные ссылки

В настоящих рекомендациях в области стандартизации Банка России использованы нормативные ссылки на следующие документы в области стандартизации Банка России:

СТО БР ИББС-1.0;

СТО БР ИББС-1.2 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0" (далее - СТО БР ИББС-1.2).

3. Термины и определения

В настоящих рекомендациях применены термины в соответствии со СТО БР ИББС-1.0.

4. Обозначения и сокращения

АРМ - автоматизированное рабочее место;

БС - банковская система;

ИБ - информационная безопасность;

ИСПДн - информационная система персональных данных;

ЛВС - локальная вычислительная сеть;

ОС - операционная система;

ПО - программное обеспечение;

РФ - Российская Федерация;

СКЗИ - средства криптографической защиты информации;

СУБД - система управления базы данных.

5. Общий подход к определению требований по обеспечению безопасности персональных данных в информационных системах персональных данных

5.1. Выбор требований по обеспечению безопасности персональных данных в информационных системах персональных данных (ИСПДн) осуществляется в зависимости от результатов классификации ИСПДн.

5.2. В соответствии с действующим стандартом СТО БР ИББС-1.0 все ИСПДн организаций БС РФ относятся к специальным. ИСПДн организации БС РФ классифицируются на основе категорий обрабатываемых в ИСПДн персональных данных. Выделяются следующие основные классы ИСПДн:

ИСПДн обработки специальных категорий персональных данных (далее - ИСПДн-С);

Примечание.

В соответствии с Федеральным законом от 27 июля 2006 года "О персональных данных" [1] к специальным категориям персональных данных относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

ИСПДн обработки биометрических персональных данных (далее - ИСПДн-Б);

Примечание.

В соответствии с Федеральным законом от 27 июля 2006 года "О персональных данных" [1] к биометрическим персональным данным относятся сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность.

ИСПДн обработки персональных данных, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным (далее - ИСПДн-И);

ИСПДн обработки общедоступных и (или) обезличенных персональных данных (далее - ИСПДн-Д).

Примечание.

В соответствии с Федеральным законом от 27 июля 2006 года "О персональных данных" [1] к общедоступным персональным данным относятся персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

В соответствии с Федеральным законом от 27 июля 2006 года "О персональных данных" [1] обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

5.3. Для обеспечения выполнения требований СТО БР ИББС-1.0 в ИСПДн организации БС РФ для каждой ИСПДн должны быть реализованы:

- общие требования по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн любого класса (раздел 6.1 настоящих рекомендаций);

- требования по обеспечению безопасности персональных данных, обрабатываемых в

ИСПДн соответствующего класса (разделы 6.2-6.5 настоящих рекомендаций).

5.4. Связь положений СТО БР ИББС-1.0 и требований настоящего документа, необходимых для реализации этих положений, приведена в приложении.

5.5. При проведении оценок соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 (самооценок и внешних оценок соответствия) вопросы частных показателей СТО БР ИББС-1.2 в части банковских технологических процессов, в рамках которых обрабатываются персональные данные, детализируются и конкретизируются вопросами, составленными на основе требований настоящего документа. Перечень указанных детализирующих и конкретизирующих вопросов, а также подход к проведению оценок соответствия ИБ содержатся в СТО БР ИББС-1.2.

6. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных

6.1. Общие требования по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных любого класса

6.1.1. Требования по обеспечению безопасности персональных данных в ИСПДн в общем случае реализуются комплексом организационных, технологических, технических и программных мер, средств и механизмов защиты информации.

Организация выполнения и (или) реализация требований по обеспечению безопасности персональных данных должна осуществляться структурным подразделением или должностным лицом (работником) организации БС РФ, ответственным за обеспечение безопасности персональных данных, либо на договорной основе организацией - контрагентом организации БС РФ, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

Допускается возложение ответственности за организацию работы по обеспечению безопасности персональных данных на существующее в организации БС РФ подразделение (например, на службу ИБ).

Реализация требований по обеспечению безопасности персональных данных должна осуществляться по согласованию и под контролем службы ИБ организации БС РФ.

6.1.2. Создание ИСПДн организации БС РФ должно включать разработку и согласование (утверждение) предусмотренной техническим заданием организационно-распорядительной, проектной и эксплуатационной документации на создаваемую систему. В документации должны быть отражены вопросы обеспечения безопасности обрабатываемых персональных данных.

Разработка концепций, технических заданий, проектирование, создание и тестирование, приемка и ввод в действие ИСПДн должны осуществляться по согласованию и под контролем структурного подразделения или должностного лица (работника) организации БС РФ, ответственного за обеспечение безопасности персональных данных, и службы ИБ организации БС РФ.

6.1.3. Все информационные активы, принадлежащие ИСПДн организаций БС РФ, должны быть защищены от воздействий вредоносного кода. В организации БС РФ должны быть определены и документально зафиксированы требования по обеспечению безопасности персональных данных средствами антивирусной защиты и порядок проведения контроля реализации этих требований в соответствии с требованиями пункта 7.5 СТО БР ИББС-1.0.

6.1.4. В организации БС РФ должна быть определена система контроля доступа, позволяющая осуществлять контроль доступа к коммуникационным портам, устройствам ввода-вывода информации, съемным машинным носителям и внешним накопителям информации ИСПДн.

6.1.5. Руководители эксплуатирующих и обслуживающих ИСПДн подразделений организации БС РФ обеспечивают безопасность персональных данных при их обработке в ИСПДн.

Работники, осуществляющие обработку персональных данных в ИСПДн, должны действовать в соответствии с инструкцией (руководством, регламентом и т.п.), входящей в состав эксплуатационной документации на ИСПДн, и соблюдать требования документов организации БС РФ по обеспечению ИБ.

6.1.6. Обязанности по администрированию средств защиты и механизмов защиты, реализующих требования по обеспечению ИБ ИСПДн организации БС РФ, возлагаются приказами (распоряжениями) на администраторов информационной безопасности ИСПДн.

6.1.7. Порядок действий администратора информационной безопасности ИСПДн и персонала, занятых в процессе обработки персональных данных, должен быть определен инструкциями (руководствами), которые готовятся разработчиком ИСПДн в составе эксплуатационной документации на ИСПДн.

Указанные инструкции (руководства):

устанавливают требования к квалификации администратора информационной безопасности и персонала в области защиты информации, а также актуальный перечень защищаемых объектов и правила его обновления;

содержат в полном объеме актуальные (по времени) данные о полномочиях пользователей;

содержат данные о технологии обработки информации в объеме, необходимом для администратора информационной безопасности;

устанавливают порядок и периодичность анализа журналов регистрации событий (архивов журналов);

регламентируют другие действия администратора информационной безопасности и персонала, предусмотренные настоящими рекомендациями.

Параметры конфигурации средств защиты и механизмов защиты информации от НСД, используемых в зоне ответственности администратора информационной безопасности, определяются в эксплуатационной документации на ИСПДн. Порядок и периодичность проверок установленных параметров конфигурации устанавливаются в эксплуатационной документации или регламентируются внутренним документом организации БС РФ, при этом проверки должны проводиться не реже чем раз в год.

6.1.8. В организации БС РФ должен быть определен и документально зафиксирован порядок доступа в помещения, в которых размещаются технические средства ИСПДн и хранятся носители персональных данных, предусматривающий контроль доступа в помещения посторонних лиц и наличие препятствий для несанкционированного проникновения в помещения.

Указанный порядок должен быть разработан структурным подразделением или должностным лицом (работником) организации БС РФ, ответственным за обеспечение режима физической безопасности организации БС РФ и согласован структурным подразделением или должностным лицом (работником) организации БС РФ, ответственным за обеспечение безопасности персональных данных, и службой ИБ организации БС РФ.

6.1.9. Пользователи и обслуживающий персонал ИСПДн не должны осуществлять несанкционированное и (или) нерегистрируемое (бесконтрольное) копирование персональных данных. С этой целью организационно-техническими мерами должно быть запрещено несанкционированное и (или) нерегистрируемое (бесконтрольное) копирование персональных данных, в том числе с использованием отчуждаемых (сменных) носителей информации, мобильных устройств копирования и переноса информации, коммуникационных портов и устройств ввода-вывода, реализующих различные интерфейсы (включая беспроводные), запоминающих устройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов), а также устройств фото- и видеосъемки.

6.2. Требования по обеспечению безопасности персональных данных, обрабатываемых в информационных системах обработки общедоступных и (или) обезличенных персональных данных