на № А-02/5-398 от 07.06.2011

Уважаемый Гарегин Ашотович!

Банк России рассмотрел запрос Ассоциации Российских Банков о проблемах в реализации требований законодательства в области обеспечения безопасности персональных данных (письмо № А-02/5-398 от 07.06.2011 г.) сообщает следующее.

Отсутствие в настоящее время технических регламентов, устанавливающих требования к средствам защиты информации (СЗИ), используемым для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, делает невозможным как оценку соответствия, так и добровольное или обязательное подтверждение соответствия СЗИ.

Таким образом, до выпуска документов, обеспечивающих выполнение требований законодательства, считаем возможным применение для обеспечения безопасности персональных данных при их обработке в информационных системах встроенных защитных мер, сертифицированных СЗИ, а также средств защиты, не включённых в Единый перечень товаров, к которым применяются запреты или ограничения на ввоз или вывоз государствами - участниками таможенного союза, в рамках Евразийского экономического сообщества в торговле с третьими странами.

М.Ю. Сенаторов

Исх. № А-02/5-398
от 07.06.2011

Заместителю Председателя
Центрального банка
Российской Федерации
г-ну Сенаторову М.Ю.

Уважаемый Михаил Юрьевич!

В Ассоциацию российских банков обращаются кредитные организации по вопросам о применения ими Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» в части сертификации средств защиты информации.

В соответствии с частью 2 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Правительство РФ устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.

Так, на основании Постановления Правительства Российской Федерации от 17.11.2007 № 781 утверждено Положение «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Положение), согласно пункту 5 которого средства защиты информации (далее – СЗИ) должны в установленном порядке проходить процедуру оценки соответствия.

Процедура оценки соответствия регулируется Федеральным законом от 27.12.2002 № 184-ФЗ «О техническом регулировании» (далее – Закон 184-ФЗ).

В статье 2 Закона 184-ФЗ указано, что оценка соответствия заключается в прямом или косвенном определении соблюдения требований, предъявляемых к объекту согласно техническим регламентам, положениям стандартов, сводам правил или условиям договоров, по результатам чего выдается подтверждение соответствия.

Подтверждение соответствия может быть добровольным или обязательным (статья 20 Закона 184-ФЗ). Обязательное подтверждение соответствия проводится только в случаях, установленных техническим регламентом на основании соответствия его требованиям (пункта 1 статьи 23 Закона 184-ФЗ).

Поскольку в настоящее время технический регламент, устанавливающий требования к СЗИ не принят, то у операторов персональных данных отсутствует обязанность использования СЗИ, прошедших процедуру соответствия.

Однако, специалисты по защите персональных данных дают прямо противоположный ответ, ссылаясь при этом на Положение, а также Постановление Правительства РФ от 15.05.2010 № 330, имеющее гриф «ДСП» и нигде не опубликованное.

Учитывая необходимость для кредитных организаций выяснения официальной позиции Банка России, Ассоциация российских банков просит Вас ответить на следующий вопрос:
- влечет ли нарушение действующего законодательства Российской Федерации использование кредитными организациями, осуществляющими обработку персональных данных, средств защиты информации, не прошедших оценку соответствия?

С уважением,
Президент Г.А.Тосунян