5.1. Выбор требований по обеспечению безопасности персональных данных в информационных системах персональных данных (ИСПДн) осуществляется в зависимости от результатов классификации ИСПДн.
5.2. В соответствии с действующим стандартом СТО БР ИББС-1.0 все ИСПДн организаций БС РФ относятся к специальным. ИСПДн организации БС РФ классифицируются на основе категорий обрабатываемых в ИСПДн персональных данных. Выделяются следующие основные классы ИСПДн:
ИСПДн обработки специальных категорий персональных данных (далее - ИСПДн-С);
Примечание.
В соответствии с Федеральным законом от 27 июля 2006 года "О персональных данных" [1] к специальным категориям персональных данных относятся персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
ИСПДн обработки биометрических персональных данных (далее - ИСПДн-Б);
Примечание.
В соответствии с Федеральным законом от 27 июля 2006 года "О персональных данных" [1] к биометрическим персональным данным относятся сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность.
ИСПДн обработки персональных данных, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным (далее - ИСПДн-И);
ИСПДн обработки общедоступных и (или) обезличенных персональных данных (далее - ИСПДн-Д).
Примечание.
В соответствии с Федеральным законом от 27 июля 2006 года "О персональных данных" [1] к общедоступным персональным данным относятся персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
В соответствии с Федеральным законом от 27 июля 2006 года "О персональных данных" [1] обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
5.3. Для обеспечения выполнения требований СТО БР ИББС-1.0 в ИСПДн организации БС РФ для каждой ИСПДн должны быть реализованы:
- общие требования по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн любого класса (раздел 6.1 настоящих рекомендаций);
- требования по обеспечению безопасности персональных данных, обрабатываемых в
ИСПДн соответствующего класса (разделы 6.2-6.5 настоящих рекомендаций).
5.4. Связь положений СТО БР ИББС-1.0 и требований настоящего документа, необходимых для реализации этих положений, приведена в приложении.
5.5. При проведении оценок соответствия ИБ организации БС РФ требованиям СТО БР ИББС-1.0 (самооценок и внешних оценок соответствия) вопросы частных показателей СТО БР ИББС-1.2 в части банковских технологических процессов, в рамках которых обрабатываются персональные данные, детализируются и конкретизируются вопросами, составленными на основе требований настоящего документа. Перечень указанных детализирующих и конкретизирующих вопросов, а также подход к проведению оценок соответствия ИБ содержатся в СТО БР ИББС-1.2.