"Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации"
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
АССОЦИАЦИЯ РОССИЙСКИХ БАНКОВ
АССОЦИАЦИЯ РЕГИОНАЛЬНЫХ БАНКОВ РОССИИ (АССОЦИАЦИЯ "РОССИЯ")
МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
ПО ВЫПОЛНЕНИЮ ЗАКОНОДАТЕЛЬНЫХ ТРЕБОВАНИЙ ПРИ ОБРАБОТКЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИЯХ БАНКОВСКОЙ СИСТЕМЫ
РОССИЙСКОЙ ФЕДЕРАЦИИ
(на основе комплекса документов в области стандартизации
Банка России "Обеспечение информационной безопасности
организаций банковской системы Российской Федерации")
I. Введение
В Банк России, Ассоциацию российских банков и Ассоциацию региональных банков России (Ассоциацию "Россия") поступают многочисленные обращения организаций банковской системы Российской Федерации (БС РФ) по вопросу применения положений Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных"). Банками отмечается, что выполнение норм Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных является крайне важной задачей и способствует защите интересов граждан.
С целью выполнения в организациях банковской системы Российской Федерации (далее - БС РФ) требований Федерального закона "О персональных данных" и требований (рекомендаций) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее - Роскомнадзор), Федеральной службы безопасности Российской Федерации (далее - ФСБ России) и Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) Центральный банк Российской Федерации при участии Роскомнадзора, ФСБ России, ФСТЭК России (далее - Регуляторы, если по смыслу не требуется детализация), Ассоциации российских банков (далее - АРБ) и Ассоциации региональных банков России (Ассоциации "Россия") разработал отраслевые документы по приведению организаций БС РФ в соответствие с требованиями законодательства в области персональных данных. Эти документы включают:
1. Четыре документа, входящие в комплекс документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (далее - Комплекс БР ИББС):
- Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации" (РС БР ИББС-2.4) (далее - Отраслевая модель угроз);
- Доработанные в части требований по обработке и обеспечению безопасности персональных данных в соответствии с Отраслевой моделью угроз стандарты Банка России отраслевого применения СТО БР ИББС-1.0 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - стандарт Банка России СТО БР ИББС-1.0) и СТО БР ИББС-1.2 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0";
- Рекомендации в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации" (далее - рекомендации в области стандартизации Банка России РС БР ИББС-2.3).
2. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ (далее - Методические рекомендации).
Методические рекомендации разработаны Ассоциацией российских банков и Ассоциацией региональных банков России (Ассоциацией "Россия") совместно с Банком России для обеспечения методической поддержки применения организациями БС РФ Комплекса БР ИББС.
Место вышеуказанной документации показано на примерной структурной схеме документационного обеспечения выполнения законодательных требований при обработке персональных данных в организациях БС РФ (Рис. 1).
Рис. 1. Примерная структурная схема верхних уровней
документационного обеспечения выполнения законодательных
требований при обработке персональных данных
в организации БС РФ
II. Общие положения
Отраслевая модель угроз разработана на основе "Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных", рекомендованной ФСТЭК России, и содержит перечень угроз безопасности персональным данным, актуальных для организаций БС РФ.
Стандарты Банка России Банка России позволяют обеспечить защиту персональных данных, обрабатываемых как в информационных системах персональных данных (ИСПДн), т.е. в системах, целью создания которых является обработка персональных данных и к защите которых требования и рекомендации по обеспечению безопасности персональных данных предъявляют ФСБ России и ФСТЭК России, так и в иных автоматизированных банковских системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации (режим защиты сведений, составляющих банковскую тайну, коммерческую тайну и др.).
При введении Стандартов Банка России в организации БС РФ приказом требования по получению лицензий на деятельность по технической защите конфиденциальной информации и требования аттестации ИСПДн не являются обязательными (в соответствии с пунктом 9.6 СТО БР ИББС-1.0-2010).
В случае применения организацией БС РФ для обеспечения безопасности персональных данных шифровальных (криптографических) средств защиты информации (далее - СКЗИ), организации БС РФ обязаны получать лицензии ФСБ России в соответствии с законодательством Российской Федерации.
Рекомендации содержат набор практик, способствующих выполнению в организациях БС РФ требований Стандартов Банка России и тем самым - выполнению требований Федерального закона "О персональных данных", а также требований и рекомендаций Регуляторов.
III. Особенности и ограничения
В соответствии с Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании" все стандарты носят рекомендательный характер.
Вместе с тем, в случае введения их в организации БС РФ приказом, стандарты принимают статус документов, обязательных для выполнения в этой организации. В этом случае организация БС РФ добровольно принимает на себя обязательство внедрить Стандарты Банка России, оценить соответствие организации БС РФ его требованиям (с использованием стандарта Банка России СТО БР ИББС-1.2) и официально подтвердить это, направив в адрес Банка России и территориальных органов Регуляторов - Роскомнадзора, ФСТЭК России, ФСБ России (в пределах их полномочий) "Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0".
Если организация БС РФ не вводит Стандарты Банка России приказом, то ее деятельность при обработке персональных данных подлежит оценке при осуществлении надзора и контроля уполномоченными государственными органами на соответствие требованиям нормативных документов Регуляторов в области персональных данных, без учета отраслевых особенностей банковской сферы деятельности, отраженных в Комплексе БР ИББС.
IV. Программа действий по приведению организации БС РФ в соответствие с требованиями Федерального закона "О персональных данных"
1. Принятие решения о присоединении или неприсоединении к Стандартам Банка России. Подготовка и выпуск приказа.
2. Создание комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона "О персональных данных". Указанная комиссия будет координировать работы по приведению организации БС РФ в соответствие с требованиями Стандартов Банка России и настоящих рекомендаций и по проведению самооценки.
3. Разработка плана по приведению организации БС РФ в соответствие с требованиями Федерального закона "О персональных данных" (в соответствие с требованиями Стандартов Банка России).
4. Формирование перечня обрабатываемых персональных данных, а также формулирование целей и оснований для обработки этих данных.
5. Определение и выработка условий и принципов обработки персональных данных в организации БС РФ.
6. Составление перечня систем организации БС РФ, в которых обрабатываются персональные данные. Выделение ИСПДн и проведение их классификации.
7. Принятие решения о вводе в действие в организации БС РФ Отраслевой модели угроз. Разработка, в случае необходимости, собственной частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных организации БС РФ.
8. Оценка возможности обезличивания персональных данных. Проведение обезличивания. Проведение, в случае необходимости, повторной классификации ИСПДн.
9. Оценка существующих защитных мер на предмет соответствия требованиям Стандартов Банка России.
10. Решение вопроса о выделении необходимых материальных, кадровых и финансовых ресурсов для реализации мероприятий, предусмотренных планом мероприятий.
11. Реализация плана, включая выпуск необходимых документов. Доработка уже существующих документов с целью их соответствия требованиям Федерального закона "О персональных данных".
12. Проведение контроля в форме:
- Оценки соответствия организации БС РФ положениям стандарта Банка России СТО БР ИББС-1.0-2010 внешней организацией (аудита);
- Самооценки соответствия организации БС РФ положениям стандарта Банка России СТО БР ИББС-1.0-2010.
13. Выпуск документа о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям Регуляторов - Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий).
14. Направление этого документа в адрес Банка России и территориальных органов Регуляторов (по готовности, но не позже 31 декабря 2010 года, в дальнейшем - один раз в три года).
V. Комментарии к программе действий
a. Создание комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона "О персональных данных" (пункт 2 программы действий)
Перед началом работ по приведению организации БС РФ в соответствие с требованиями Федерального закона "О персональных данных" организационно-распорядительным порядком создается комиссия, на которую будет возлагаться реализация приведенных выше этапов. В состав данной комиссии входят представители юридического подразделения, подразделений общей и информационной безопасности, подразделений информатизации (разработки и обеспечения банковских технологий и обработки информации), кадровой службы (отдела кадров), управления делами (делопроизводства), подразделений по работе с клиентами (физическими лицами), а также представители других структурных подразделений, имеющих непосредственное отношение в организации БС РФ к сфере действия Федерального закона "О персональных данных".
Целесообразно, чтобы председатель комиссии был одновременно назначен ответственным за выполнение законодательных требований при обработке персональных данных в организации БС РФ.
Одной из задач комиссии является классификация информационных систем персональных данных.
После выполнения плана по приведению организации БС РФ в соответствие требованиям Федерального закона "О персональных данных" рекомендуется продолжить работу комиссии на постоянной основе.
b. Разработка плана по приведению в соответствие (пункт 3 программы действий)
Все этапы программы действий (кроме первого) могут быть детализированы в поэтапном плане по приведению организации БС РФ в соответствие с требованиями Федерального закона "О персональных данных".
Данный поэтапный план утверждается с указанием конкретных сроков реализации каждого этапа.
c. Типовой перечень персональных данных (пункт 4 программы действий)
В организации БС РФ рекомендуется сформировать перечень персональных данных с указанием целей и сроков их обработки (в т.ч. и хранения). Это позволит облегчить решение ряда задач, например:
разработка положения о защите персональных данных и иной организационно-распорядительной документации в области обработки персональных данных;
планирование и реализация мероприятий по защите персональных данных;
разработка уведомления в Роскомнадзор;
реагирование на запросы субъектов персональных данных.
При составлении Перечня персональных данных организация БС РФ может воспользоваться примерным перечнем, приведенным в Приложении 3.
При составлении перечня персональных данных, обрабатываемых организацией БС РФ, важно определить цели и сроки такой обработки. Например, если для регистрации паспортных данных посетителей организации БС РФ выбрана цель - "однократный проход посетителей на территорию организации БС РФ", то покидание посетителем организации БС РФ приводит к необходимости уничтожения зафиксированных персональных данных. Этого требует Федеральный закон "О персональных данных", так как по достижению цели обработки персональные данные должны быть уничтожены. Это пример некорректно выбранной цели. Теперь приведем пример некорректно выбранного срока хранения персональных данных. Если во внутренних документах организации БС РФ написано, что "хранение персональных данных персонала организации БС РФ осуществляется в течение срока действия трудового договора", то организация БС РФ может столкнуться с ситуацией, когда персональные данные уволенного работника должны быть удалены, а сделать это невозможно, так как эти данные должны быть использованы при предоставлении отчетности в органы Федеральной налоговой службы, Пенсионный Фонд Российской Федерации, Фонд обязательного медицинского страхования и т.п. С целью упрощения определения целей и сроков обработки персональных данных организация БС РФ может воспользоваться формулировками, приведенными в Перечне персональных данных, обрабатываемых организацией БС РФ (Приложение 3).
Данный этап также позволит выделить персональные данные, которые потребуют особых условий обработки, - видео и фотоизображения человека, геометрия руки и дактилоскопия, голосовые данные в центрах обработки вызовов и т.п.
При наличии в организации БС РФ утвержденного Перечня сведений конфиденциального характера допускается включить в него новый пункт - "персональные данные" (вместо разработки и утверждения отдельного Перечня обрабатываемых персональных данных). Это позволит легитимным образом распространить уже существующие режимы конфиденциальности, а также разработанную по этим вопросам нормативно-распорядительную документацию, и на обрабатываемые в организации БС РФ персональные данные.
При обработке персональных данных клиентов организации БС РФ рекомендуется минимизировать обработку персональных данных, отнесенных Федеральным законом "О персональных данных" (статья 10) к специальным категориям персональных данных.
d. Классификация ИСПДн (пункт 6 программы действий)
В связи с тем, что согласно статье 19 Федерального закона "О персональных данных" операторы обязаны защитить персональные данные от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий, то все ИСПДн организации БС РФ относятся к категории специальных в соответствии с пунктом 8 Порядка проведения классификации информационных систем персональных данных, утвержденного Приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".
Автоматизированные системы, в которых обрабатываются персональные данные, но целью работы которых не является обработка персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн.
По результатам классификации ИСПДн составляется Акт классификации.
e. Разработка частной модели угроз (пункт 7 программы действий)
В соответствии с пунктом 16 Порядка проведения классификации информационных систем персональных данных, утвержденного Приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных", для специальных информационных систем персональных данных должна быть разработана модель угроз безопасности персональных данных.
В качестве модели угроз безопасности персональных данных при их обработке в ИСПДн организация БС РФ может использовать Отраслевую модель угроз, содержащую актуальные угрозы безопасности персональных данных при обработке в ИСПДн организаций БС РФ (применительно к большинству организаций БС РФ) и согласованную с Регуляторами.
В случае необходимости, в организации БС РФ может быть составлена частная модель угроз безопасности персональных данных при их обработке в ИСПДн организации БС РФ (далее - частная модель угроз), учитывающая особенности обработки персональных данных в конкретной организации БС РФ.
В качестве методики выбора актуальных для организации БС РФ угроз и последующего составления частной модели угроз используются рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 "Обеспечение информационной безопасности организаций БС РФ. Методика оценки рисков нарушения информационной безопасности.
f. Оценка возможности обезличивания персональных данных (пункт 8 программы действий)
Персональные данные, обрабатываемые в ИСПДн, можно обезличить с целью понижения уровня требований по обеспечению безопасности. Согласно Федеральному закону "О персональных данных" обезличивание - это действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.
Полностью обезличить все персональные данные невозможно - в информационных системах всегда будут присутствовать технические средства (например, автоматизированные рабочие места операционистов или принтеры), на которых будет происходить процесс, обратный обезличиванию, - для целей сверки данных, печати на принтере, отправки по электронной почте и т.п.
На основе анализа национальных и международных стандартов <*> может быть составлен следующий список алгоритмов обезличивания персональных данных (см. Таблица 1).
--------------------------------
<*> NIST SP800-122 "Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)", BS10012:2009 "Data protection - Specification for a personal information management system", ISO 25237:2008 "Health informatics - Pseudonymization".
Таблица 1. Алгоритмы обезличивания персональных
данных (ПДн)
g. Реализация плана и документирование процесса обработки персональных данных (пункт 11 программы действий)
Обеспечение безопасности персональных данных осуществляется в соответствии с доработанными для использования в целях защиты персональных данных и согласованными с Регуляторами Стандартами Банка России.
Организация работ по обработке и обеспечению безопасности персональных данных сопровождается разработкой различных документов в соответствии с требованиями федерального законодательства, требованиями и рекомендациями Регуляторов. Эти документы разрабатываются в организации БС РФ и предъявляются Регуляторам в случае проведения ими контроля и надзора за соответствием обработки персональных данных законодательным требованиям. Примерный перечень документов приведен в Таблице 2, типовые шаблоны части этих документов приведены в приложениях к данным рекомендациям.
Таблица 2. Перечень документов
В случае использования организацией БС РФ для обеспечения безопасности персональных данных средств криптографической защиты информации (СКЗИ) помимо определенных выше документов разрабатываются следующие документы:
--------------------------------
<*> В столбце приведены сокращенные названия документов:
1. Рекомендации - Рекомендации по выполнению законодательных требований при обработке персональных данных в организации БС РФ.
2. Закон - Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных".
3. Постановление Правительства N 781 - Постановление Правительства РФ от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
4. Приказ - Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".
5. Приказ ФСТЭК - Приказ федеральной службы по техническому и экспортному контролю от 5 февраля 2010 года N 58 "Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных".
6. Документы ФСБ - "Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных", "Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" (утверждены Руководством 8 Центра ФСБ России 21 февраля 2008 года).
7. Регламент ФСБ - Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утвержден Руководством 8 Центра ФСБ России 8 августа 2009 года N 149/7/2/6-1173).
8. Регламент Роскомнадзора - Административный регламент проведения проверок Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утвержден Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций N 630 от 01.12.2009).
Приложение 1
Приложение 2
Приложение 3
Приложение 4
Приложение 5
--------------------------------
<*> Содержание столбца определяется решением комиссии по приведению организации БС РФ в соответствие требованиям Федерального закона "О персональных данных".
Приложение 6
--------------------------------
<*> Содержание столбца определяется решением комиссии по приведению организации БС РФ в соответствие требованиям Федерального закона "О персональных данных". Могут содержаться следующие данные:
- Перечень персональных данных, которые обрабатываются в ИСПДн.
- Категория обрабатываемых персональных данных - в том случае, если в организации БС РФ проводится классификация персональных данных, в соответствии с пунктом 7.10.3 стандарта Банка России СТО БР ИББС-1.0-2010.
- Объем обрабатываемых персональных данных - количество субъектов персональных данных, персональные данные которых обрабатываются в ИСПДн.
- Виды обработки персональных данных - заполняется в соответствии с частью 3 статьи 3 Федерального закона "О персональных данных".
- Характеристики безопасности - Конфиденциальность, целостность, доступность и другие свойства безопасности персональных данных.
- Структура ИСПДн, Наличие подключения ИСПДн к сетям связи общего пользования и сетям международного информационного обмена, Режим обработки персональных данных, Режим разграничения прав доступа пользователей к ИСПДн, Местонахождение технических средств ИСПДн -заполняется в соответствии с пунктами 9 - 13 Порядка проведения классификации информационных систем персональных данных, утвержденного Приказом ФСТЭК, ФСБ и Минсвязи от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".
<**> В соответствии с определенными критериями классификации (пункт 7.11.3 стандарта Банка России СТО БР ИББС-1.0-2010).
Приложение 7
Приложение 8
Приложение 9
Приложение 10
Приложение 11
Приложение 12
Примечание:
1. Акт составляется раздельно на каждый способ уничтожения носителей.
2. Все листы акта, а также все произведенные исправления и дополнения в акте заверяются подписями всех членов комиссии.
Приложение 13
Приложение 14
Приложение 15
Приложение
к Приказу от "__" _____ 20__ г. N ___
Приложение 16
Приложение 17
Приложение 17
ТИПОВЫЕ ОШИБКИ ПРИ РЕАЛИЗАЦИИ ТРЕБОВАНИЙ
ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ
В таблице приведены типовые и распространенные ошибки кредитных организаций, допускаемые при реализации законодательства о персональных данных, которые выявляются Роскомнадзором, ФСТЭК России и ФСБ России в процессе исполнения ими функций государственного контроля и надзора.
Таблица 3