среда, 7 декабря 2011 г.

Консультационный центр АРБ опубликовал информационное письмо, касающееся применения банками СТО БР ИББС в свете изменившегося 152-ФЗ


Напомню, что ранее Консультационный центр АРБ обращалась к банковскому сообществу с  просьбой направлять в их адрес проблемные вопросы, с которыми сталкиваются банки в свете новой редакции 152-ФЗ.

Новое письмо как раз и является ответом, на поступившие в АРБ запросы.

Итак, обо всем по порядку:  

1. Подход к реализации требований по ПДн в банках: в связи с тем, что до настоящего времени не завершено формирование законодательной базы, направленной на выполнение новых требований по защите ПДн, то подход к обеспечению безопасности ПДн в организациях БС РФ остается прежним:
  • в случае введения в организации БС РФ Комплекса БР ИББС, следует продолжать руководствоваться отраслевыми документами, содержащими положения по обработке и обеспечению безопасности ПДн, а также порядком, рекомендованном в Письме-обращении;
  • в том случае, если не планируется введение комплекса БР ИББС, следует руководствоваться ранее изданными нормативными актами, а впоследствии подзаконными актами, предусмотренными ст. 19 ФЗ № 261 от 25 июля 2011 года, после их издания.  
2. Статус СТО БР ИББС в свете принятия новой редакции 152-ФЗ: легитимный:
  • Банк России совместно с РКН, ФСБ  и ФСТЭК ведет работу по согласованию подходов к выполнению БС РФ требований новой редакции 152-ФЗ;
  • изучается вопрос о внесении изменений в Комплекс БР ИББС - т.е. решение еще не принято;
  • рассматривается возможность выпуска новой редакции письма-обращения Банка Росси, Ассоциации российских банков,  Ассоциации региональных банков России (Ассоциация «Россия») и регуляторов - новое письмо шестерых с адаптацией к новой редакции 152-ФЗ,  о котором уже говорилось на различных мероприятиях. 
3. Срок приведения в соответствие требования по обработке и защите ПДн: остался прежним - до 1 июля 2011,  т.е. все уже должно соответствовать. 

4. АБС и ИСПДн: в части классификации ИСПДн и их отнесения к АБС в дополнение к положениям п. 7.10.9 СТО БР ИББС-1.0-2010 дано следующее разъяснение
"Специалисты Банка самостоятельно, проведя обследование эксплуатируемых систем, должны сделать обоснованный вывод на основе сведений о функциях и технологиях АБС о возможности отнесения к ИСПДн. При этом должны учитываться следующие данные: цели создания системы, обрабатываемые в ней персональные данные и т.д."
т.е. банк сам определяет, какая АБС является ИСПДн, а какая нет. Об этом, кстати, уже говорилось в информационном письме № 2 Консультационного центра. 

5. Необходимость использования сертифицированных СЗИ: равнение на СТО БР ИББС, согласно которому эта мера является рекомендованной (см. п.7.4.2 СТО БР ИББС-1.0.2010), в отношении СКЗИ - используются сертифицированные или имеющие разрешение ФСБ СКЗИ (см. п.7.7.2 СТО БР ИББС-1.0.-2010).

Так что, господа банкиры, кто присоединился к СТО БР ИББС, но еще не начал работы по приведению ИБ своих банков в соответствие - самое время начать, пока еще есть возможность использовать деньги из бюджета 2011 года. Пожалуй это лучшее для них применение =) .

Также в письме Консультационного центра АРБ даны разъяснений по другим вопросам обработки ПДн, которые будут интересны не только банкирам, но и другим операторам ПДн: 
  • определение уровней защищенности ПД и мер по защите ПД; 
  • несогласованность терминов в новой редакции 152-ФЗ и действующими нормативными актами Правительства; 
  • обработка ПДн уволившихся сотрудников,  а также клиентов, после расторжения  договоров с ними; 
  • обработка ПДн кандидатов на работу; 
  • необходимость сбора согласий по договорам, заключенным до принятия 152-ФЗ;
  • обработка ПДн в рамках международных транзакций; 
  • необходимость учета жестких дисков, на которых обрабатываются ПДн;
  • возможные «юридические последствия» отказа предоставления субъектом ПДн;
  • уведомление РКН об изменении сведений, изложенных в первоначальном уведомлении «о намерении осуществлять обработку ПДн»
  • возможные формы согласия на обработку ПДн, в том числе при наличии договора с субъектом ПДн;
  • возможные формы отзыва на обработку ПДн; 
  • необходимость пересмотра и переделки системы защиты ПДн в случае выхода новых нормативных актов по тематике ПДн. 
В письме затронут также интересный момент, относительно отнесения фотографии к биометрическим ПДн, который вызывает много споров между операторами и регуляторами. Мнение АРБ такое:   
"... фотография или видеозапись, на которой запечатлен человек, могут считаться биометрическими данными (является носителем биометрических ПДн)  только в том случае, если они представлены в электронном виде и получены с применением специальных технологий и технических средств, позволяющих выполнять определенные требования, предъявляемые к форматам записи изображения  (например, в случае фотографии установленные ГОСТ Р ИСО\ МЭК 19794-5-2006)."
т.е. все ксерокопии и сканы с фотографиями, равно как и фото (веб-камеры или фотоаппараты) и видео записи к биометрическим можно не относить.

8 комментариев:

  1. другие упоминания и мыли об этом письме:
    - http://leetsoftru.blogspot.com/2011/12/blog-post.html;
    - http://lukatsky.blogspot.com/2011/12/152.html;
    - http://anvolkov.blogspot.com/2011/12/blog-post_08.html;

    ОтветитьУдалить
  2. Если уж брать глобально, то ни у Банка России, ни у АРБ, ни даже у РКН нет права толковать закон.

    Решать, в конечном счете, будет суд. А если суд - честный, то любая качественная фотография будет признана "идентифицирующей человека".

    мне кажется, вернее определять биометрическую информацию - как информацию, собранную с целью идентифицировать человека.

    при таком подходе скан паспорта может и не оказаться биометрией, т.к. часто его делают ради фио, серии, номера и т.д.

    ОтветитьУдалить
  3. Ну тогда идентифицировать с использованием автоматизированных средств, а то паспортные данные тоже могу идентифицировать человека - и что?

    Насчет полномочий толкований и суда - с одной стороны все верно, но с другой стороны как они договорятся (ЦБ, РКН и другие), так оно и будет, на смотря на то, что написано в законе. А насчет судов - пока нет прецендентов по этому поводу - то и говорить об этом, по-моему, не стоит. Тут все-таки вопрос риска, пока вероятность мала, то и риск мал =)

    ОтветитьУдалить
  4. Я имел ввиду идентифицировать человека по его физиологическим особенностям.

    Преценденты уже есть. РКН считает ксерокопию паспорта биометрическими ПДн и выписывает постановления.

    ОтветитьУдалить
  5. Но при наличии участия со стороны ЦБ, АРБ и других сообществ будет проще достучаться до РКН и объяснить им, что они не правы.

    ОтветитьУдалить
  6. Адекватные операторы выбирают путь итеративного выполнения требований. Сначала выполняют те требования, которые реально необходимы и их необходимость понятна любому специалисту. На потом оставляются спорные и неадекватные требования до тех пор, пока их не обсудит сообщество экспертов или не будут даны однозначные разъяснения со стороны регуляторов или судебная практика.

    Смысл кидаться в панику и выполнять все требования?

    На счет биометрии - согласен с (на мой взгляд и опыт) большинством и АРБ.

    Вообще, ответы АРБ полностью совпали с тем с моими мнениями и действиями.

    ОтветитьУдалить
  7. А вот продолжение дискуссии насчет темы с биометрией на блоге Емельянникова - http://emeliyannikov.blogspot.com.

    ОтветитьУдалить
  8. вот еще комментарий к упомянутой дискуссии
    http://pushkinizm.blogspot.com/2011/12/152.html

    Юрий Шел,
    +1

    ОтветитьУдалить