Консультационный центр АРБ опубликовал новое информационное письмо (№ 5) "Об организации работы CИБ банковских учреждений России в связи с принятием Федерального закона от 25 июля 2011 года № 261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных".
Напомню, что ранее Консультационный центр АРБ обращалась к банковскому сообществу с просьбой направлять в их адрес проблемные вопросы, с которыми сталкиваются банки в свете новой редакции 152-ФЗ.
Новое письмо как раз и является ответом, на поступившие в АРБ запросы.
Итак, обо всем по порядку:
1. Подход к реализации требований по ПДн в банках: в связи с тем, что до настоящего времени не завершено формирование законодательной базы, направленной на выполнение новых требований по защите ПДн, то подход к обеспечению безопасности ПДн в организациях БС РФ остается прежним:
- в случае введения в организации БС РФ Комплекса БР ИББС, следует продолжать руководствоваться отраслевыми документами, содержащими положения по обработке и обеспечению безопасности ПДн, а также порядком, рекомендованном в Письме-обращении;
- в том случае, если не планируется введение комплекса БР ИББС, следует руководствоваться ранее изданными нормативными актами, а впоследствии подзаконными актами, предусмотренными ст. 19 ФЗ № 261 от 25 июля 2011 года, после их издания.
2. Статус СТО БР ИББС в свете принятия новой редакции 152-ФЗ: легитимный:
- Банк России совместно с РКН, ФСБ и ФСТЭК ведет работу по согласованию подходов к выполнению БС РФ требований новой редакции 152-ФЗ;
- изучается вопрос о внесении изменений в Комплекс БР ИББС - т.е. решение еще не принято;
- рассматривается возможность выпуска новой редакции письма-обращения Банка Росси, Ассоциации российских банков, Ассоциации региональных банков России (Ассоциация «Россия») и регуляторов - новое письмо шестерых с адаптацией к новой редакции 152-ФЗ, о котором уже говорилось на различных мероприятиях.
3. Срок приведения в соответствие требования по обработке и защите ПДн: остался прежним - до 1 июля 2011, т.е. все уже должно соответствовать.
4. АБС и ИСПДн: в части классификации ИСПДн и их отнесения к АБС в дополнение к положениям п. 7.10.9 СТО БР ИББС-1.0-2010 дано следующее разъяснение:
"Специалисты Банка самостоятельно, проведя обследование эксплуатируемых систем, должны сделать обоснованный вывод на основе сведений о функциях и технологиях АБС о возможности отнесения к ИСПДн. При этом должны учитываться следующие данные: цели создания системы, обрабатываемые в ней персональные данные и т.д."
т.е. банк сам определяет, какая АБС является ИСПДн, а какая нет. Об этом, кстати, уже говорилось в информационном письме № 2 Консультационного центра.
5. Необходимость использования сертифицированных СЗИ: равнение на СТО БР ИББС, согласно которому эта мера является рекомендованной (см. п.7.4.2 СТО БР ИББС-1.0.2010), в отношении СКЗИ - используются сертифицированные или имеющие разрешение ФСБ СКЗИ (см. п.7.7.2 СТО БР ИББС-1.0.-2010).
Так что, господа банкиры, кто присоединился к СТО БР ИББС, но еще не начал работы по приведению ИБ своих банков в соответствие - самое время начать, пока еще есть возможность использовать деньги из бюджета 2011 года. Пожалуй это лучшее для них применение =) .
Также в письме Консультационного центра АРБ даны разъяснений по другим вопросам обработки ПДн, которые будут интересны не только банкирам, но и другим операторам ПДн:
- определение уровней защищенности ПД и мер по защите ПД;
- несогласованность терминов в новой редакции 152-ФЗ и действующими нормативными актами Правительства;
- обработка ПДн уволившихся сотрудников, а также клиентов, после расторжения договоров с ними;
- обработка ПДн кандидатов на работу;
- необходимость сбора согласий по договорам, заключенным до принятия 152-ФЗ;
- обработка ПДн в рамках международных транзакций;
- необходимость учета жестких дисков, на которых обрабатываются ПДн;
- возможные «юридические последствия» отказа предоставления субъектом ПДн;
- уведомление РКН об изменении сведений, изложенных в первоначальном уведомлении «о намерении осуществлять обработку ПДн»;
- возможные формы согласия на обработку ПДн, в том числе при наличии договора с субъектом ПДн;
- возможные формы отзыва на обработку ПДн;
- необходимость пересмотра и переделки системы защиты ПДн в случае выхода новых нормативных актов по тематике ПДн.
В письме затронут также интересный момент, относительно отнесения фотографии к биометрическим ПДн, который вызывает много споров между операторами и регуляторами. Мнение АРБ такое:
"... фотография или видеозапись, на которой запечатлен человек, могут считаться биометрическими данными (является носителем биометрических ПДн) только в том случае, если они представлены в электронном виде и получены с применением специальных технологий и технических средств, позволяющих выполнять определенные требования, предъявляемые к форматам записи изображения (например, в случае фотографии установленные ГОСТ Р ИСО\ МЭК 19794-5-2006)."
т.е. все ксерокопии и сканы с фотографиями, равно как и фото (веб-камеры или фотоаппараты) и видео записи к биометрическим можно не относить.
другие упоминания и мыли об этом письме:
ОтветитьУдалить- http://leetsoftru.blogspot.com/2011/12/blog-post.html;
- http://lukatsky.blogspot.com/2011/12/152.html;
- http://anvolkov.blogspot.com/2011/12/blog-post_08.html;
Если уж брать глобально, то ни у Банка России, ни у АРБ, ни даже у РКН нет права толковать закон.
ОтветитьУдалитьРешать, в конечном счете, будет суд. А если суд - честный, то любая качественная фотография будет признана "идентифицирующей человека".
мне кажется, вернее определять биометрическую информацию - как информацию, собранную с целью идентифицировать человека.
при таком подходе скан паспорта может и не оказаться биометрией, т.к. часто его делают ради фио, серии, номера и т.д.
Ну тогда идентифицировать с использованием автоматизированных средств, а то паспортные данные тоже могу идентифицировать человека - и что?
ОтветитьУдалитьНасчет полномочий толкований и суда - с одной стороны все верно, но с другой стороны как они договорятся (ЦБ, РКН и другие), так оно и будет, на смотря на то, что написано в законе. А насчет судов - пока нет прецендентов по этому поводу - то и говорить об этом, по-моему, не стоит. Тут все-таки вопрос риска, пока вероятность мала, то и риск мал =)
Я имел ввиду идентифицировать человека по его физиологическим особенностям.
ОтветитьУдалитьПреценденты уже есть. РКН считает ксерокопию паспорта биометрическими ПДн и выписывает постановления.
Но при наличии участия со стороны ЦБ, АРБ и других сообществ будет проще достучаться до РКН и объяснить им, что они не правы.
ОтветитьУдалитьАдекватные операторы выбирают путь итеративного выполнения требований. Сначала выполняют те требования, которые реально необходимы и их необходимость понятна любому специалисту. На потом оставляются спорные и неадекватные требования до тех пор, пока их не обсудит сообщество экспертов или не будут даны однозначные разъяснения со стороны регуляторов или судебная практика.
ОтветитьУдалитьСмысл кидаться в панику и выполнять все требования?
На счет биометрии - согласен с (на мой взгляд и опыт) большинством и АРБ.
Вообще, ответы АРБ полностью совпали с тем с моими мнениями и действиями.
А вот продолжение дискуссии насчет темы с биометрией на блоге Емельянникова - http://emeliyannikov.blogspot.com.
ОтветитьУдалитьвот еще комментарий к упомянутой дискуссии
ОтветитьУдалитьhttp://pushkinizm.blogspot.com/2011/12/152.html
Юрий Шел,
+1